L’Agence du Numérique en Santé présentait, mi-mars, les résultats d’une étude sur la cybersécurité des établissements de santé*. Cette enquête a été réalisée du 16 mai au 30 juin 2025 auprès de 719 directeurs d’établissements avec différents statuts : privé à but lucratif (33%), privé à but non lucratif (26%) et public (41%).
Premier constat, plus d’un établissement de santé sur dix (15 %) a été confronté à un incident « cyber perturbateur », ces trois dernières années. Parmi ces victimes d’attaques, seuls 15 % d’entre elles estiment avoir été bien préparées à ce risque. Tandis qu’un établissement sur deux (53 %) se jugeait « assez bien préparé » et un tiers (32 %) « insuffisamment ».
Publics comme privés, tous concernés
À noter que les petits établissements (moins de 100 lits) sont un peu moins touchés : 12 % déclarent un incident. En revanche, l’enquête montre qu’il n’existe pas de différence significative selon le type d’établissement, qu’il soit public ou privé, comme à but lucratif ou non lucratif.
Quant aux établissements de santé n’ayant pas subi d’incident cyber dans les 3 dernières années (85% des établissements), 13% seulement estiment être « bien préparés » (contre 66% « assez bien préparés », et 21% « insuffisamment préparés »). Dans l’ensemble, les établissements de santé privés ou à but lucratif ont tendance à se sentir mieux préparés que les établissements publics ou à but non lucratif, « sans pour autant que l’on constate de différences significatives entre les différents types d’établissements dans les incidents cyber », relèvent les auteurs de l’étude.
Des directeurs hospitaliers très impliqués
Autre enseignement, en matière de gouvernance et d’implication, les directeurs d’établissements prennent la question de la cybersécurité très au sérieux. Ainsi, au moment de l’enquête, deux tiers des directeurs d’établissements avaient eu une réunion récente (moins de trois mois) avec leur équipe de sécurité des systèmes d’information (SSI). Et 87% d’entre eux affirmaient avoir connaissance du plan de prévention cybersécurité. Un score qui monte même à 97% parmi les établissements privés. Au total, près de trois quarts des directeurs déclarent même « intervenir personnellement » dans l’élaboration du plan de prévention des risques. La direction générale est quasiment systématiquement impliquée dans les exercices de crise cyber réalisé en 2023/2024 (86%) « ce qui souligne une prise de conscience stratégique de l’enjeu cyber », relève l’étude. Enfin, près des deux tiers des directeurs d’établissement (63%) considèrent leurs équipes SSI « compétentes et autonomes en matière de prévention des risques cyber ».
Continuité des soins et sécurité en ligne de mire
Les auteurs de l’étude ont demandé aux directeurs d’établissements de lister, sur une échelle de 1 à 5, les impacts potentiels d’une cyberattaque selon leur degré de gravité. L’impact perçu le plus fort concerne la « continuité des soins » (4,1/5), suivi du « coût financier » (3,9/5). Viennent ensuite, la « qualité de vie au travail du personnel » (3,8/5) et la « sécurité des patients » (3,6/5). Les items, commande et relations fournisseurs (3,3/5), réputation (2,8/5) et contentieux et réclamations (2,6/5), ferment le ban de cette liste d’impacts. À laquelle, 86 % des établissements déclarent travailler pour y répondre.
Pour autant, à la lumière de l’étude, la prévention cyber demeure marginale dans les budgets informatiques des établissements de santé : 60% des établissements y consacrent moins de 5% de leur budget d’investissement informatique (CAPEX). Parmi les raisons invoquées, 42% des directeurs d’établissements « déclarent que le budget et les ressources dont ils disposent ne permettent pas d’élaborer un plan de prévention des risques cyber au bon niveau ».
*Enquête réalisée par le cabinet Occurrence (Groupe Ifop) du 16 mai au 30 juin 2025 auprès de 719 directeurs répondants
