Nous connaissons tous les scènes à fort enjeu des séries médicales telles que ER ou The Pitt, et les cliniciens s'entraînent pour ces moments. Ce qu'ils ne répètent pas, c'est le matin où les systèmes dont ils dépendent ne fonctionnent pas. La perturbation qui perturbe réellement les soins n'est pas l'urgence clinique qu'ils sont prêts à gérer, mais les pannes d'infrastructure qui ralentissent leur capacité à aider.
La médecine est désormais numérique. Les dossiers médicaux électroniques (DME), la télésanté et l'IA façonnent les soins quotidiens, et de plus en plus d'hôpitaux abandonnent le papier chaque année. Ces outils apportent commodité, rapidité et accès, mais ils élargissent également la surface pour les logiciels malveillants et autres cybermenaces.
Les soins de santé en point de mire : Comprendre les cyberrisques et leur portée
Les soins de santé sont à la fois très ciblés et particulièrement sensibles. La moindre perturbation dans un hôpital peut se répercuter sur les patients, les familles et le personnel, et même s'étendre aux établissements cliniques voisins, mettant à rude épreuve leur capacité lorsque la demande augmente.
Au niveau mondial, les soins de santé représentaient 5 % des incidents ayant fait l'objet d'une enquête en 2024, se classant ainsi au septième rang des secteurs d'activité. Au cours de la dernière décennie, le nombre de cyberattaques hospitalières signalées a triplé aux États-Unis. Au niveau de l'UE, le dernier Threat Landscape de l'ENISA a recensé 487 incidents dans le secteur de la santé. Au sein des événements de ransomware tous secteurs confondus, la santé représente 8 %, ce qui en fait l'un des secteurs les plus touchés.
L'Agence française du numérique en santé (ANS/CERT-Santé) a enregistré 749 incidents en 2024, soit une hausse de 29 % par rapport à 2023 (581), avec des vols de données d'identification, des ransomwares et des compromissions de comptes en bonne place dans le mix. Cependant, le nombre de cas majeurs à fort impact a légèrement diminué d'une année sur l'autre, ce qui montre que la préparation fonctionne (alertes proactives, audits et exercices de crise), mais les faiblesses persistantes signifient que la pression reste élevée.
Où les hôpitaux sont les plus exposés
La plupart des incidents hospitaliers commencent par de simples oublis : un email de phishing qui se faufile, un mot de passe laissé inchangé, ou une interface exposée qui aurait dû être cachée. De plus en plus, les fuites de données involontaires se multiplient avec la diffusion des outils d'IA générative.
Les attaquants recherchent le chemin le plus rapide pour exercer une pression ; si un réseau plat ou un service d'accès à distance oublié l'offre, ils le prendront. Une fois à l'intérieur, ils se déplacent latéralement dans des environnements interconnectés qui mélangent l'informatique clinique, les dispositifs médicaux connectés (IoMT) et la technologie opérationnelle telle que HVAC, le contrôle d'accès et l'éclairage.
- Personnes et identité : Le phishing et l'utilisation de comptes valides restent des points de départ courants, désormais souvent polis avec l'IA générative. L'authentification multifactorielle, l'hygiène des accès privilégiés et les audits de routine des informations d'identification ne sont plus facultatifs.
- Appareils cliniques et connectés : Les flottes complexes, les longs cycles de vie et les contraintes liées aux correctifs créent des angles morts. Les régulateurs ont mis en garde contre les vulnérabilités exploitables dans les moniteurs courants ; l'inventaire, la surveillance basée sur le réseau et l'isolation réduisent le rayon d'action.
- Systèmes de gestion des bâtiments (BMS) et technologie des opérations (OT) : Les hôpitaux s'appuient sur une infrastructure intelligente pour l'air, l'électricité, le contrôle d'accès et la sécurité incendie. Ces systèmes sont de plus en plus connectés et, s'ils ne sont pas gérés, de plus en plus accessibles. Des rapports récents font état d'interfaces de GTB exposées et de failles connues exploitées par des ransomwares. L'OT doit être traité comme un élément du risque cybernétique et non comme un monde à part.
Les meilleures pratiques de cybersécurité dans les soins de santé
Plus le domaine est étendu et numérisé, plus la visibilité, la segmentation et la réponse deviennent importantes.
- Connaissez votre parc. Tenez des inventaires en temps réel, classés par niveau de risque, pour l'ensemble de l'IT, de l'IoMT et de l'OT, ainsi qu'un registre simple des IA/SaaS approuvées et des données qu'elles touchent.
- Segmentez avec intention. Séparez les réseaux cliniques, BMS/OT et de bureau. Appliquez le principe du moindre privilège, limitez l'accès à distance et à des tiers, et définissez des contrôles raisonnables des données sortantes.
- Surveillez ce qui compte. Rassemblez les signaux des points d'extrémité, du réseau et de l'OT et triez-les en fonction de l'impact sur les soins. Détectez rapidement les abus d'identité et les mouvements de données inhabituels.
- Vérifiez que vous pouvez récupérer. Conservez des copies immuables et hors ligne. Effectuez régulièrement des exercices de restauration et tenez à jour des playbooks en mode dégradé. Stockez hors ligne les configurations de base protégées pour les systèmes de DME, de BMS et d'identité.
- Formez tout le monde. De courtes mises à jour basées sur les rôles remplacent les longs cours annuels. Couvrez le phishing, l'ingénierie sociale et les règles simples pour une utilisation sûre des chatbots.
- Préparez-vous aux règles et à la résilience. Alignezvous sur NIS2 au fur et à mesure que les règles nationales sont finalisées ; en France, utilisez le financement CaRE pour la continuité et la reprise d'activité. Associez la cybersécurité à la résilience en matière d'électricité, de chauffage, de ventilation et d'autres services publics essentiels.
Les coûts justifient l'effort. Dans le pire des cas, les factures peuvent s'élever à 10 millions d'euros pour la crise et la remise en état, et jusqu'à 20 millions d'euros de perte de revenus dans les cas les plus graves. Et ce, avant de prendre en compte les atteintes à la réputation et la fatigue du personnel.
Comment nous améliorons les flux, sans perturber les soins
Au sein d'Equans, nous réunissons les personnes qui gèrent les bâtiments, les équipes qui sécurisent les réseaux et les ingénieurs qui intègrent les systèmes dans un programme unique construit autour de la réalité clinique, afin que les théâtres restent ouverts, que les diagnostics restent en ligne et que les parcours des patients restent fluides.
- Conception et ingénierie qui intègrent la sécurité et la conformité dès le premier jour.
- Installation et mise en service avec des configurations sécurisées et une assistance "soft-landing" pour vos équipes techniques.
- Opérations et gestion des installations adaptées aux flux de patients et aux flux de travail du personnel.
- Digital & cybersécurité couvrant l'IT, l'IoMT et l'OT, avec des garde-fous pour les outils d'IA approuvés, la protection des données sensibles et des informations fiables pour des décisions plus rapides.
- Résilience & décarbonisation pour que les services essentiels se poursuivent - tandis que les coûts et le carbone diminuent - même en cas de stress.
Notre rôle est de transformer ces principes en un programme pratique, de rendre les décisions claires, les investissements ciblés et les transmissions propres.
- Cartographie en direct des actifs et des voies d'acheminement des données à travers l'IT, l'IoMT et l'OT, ainsi qu'un registre des outils d'IA approuvés, afin de hiérarchiser les risques et les investissements.
- Zonage et schémas d'accès basés sur les risques pour les réseaux cliniques, d'usines et de bureaux, y compris l'accès sécurisé des fournisseurs et des contrôles judicieux des données sortantes pour les services en nuage.
- Surveillance adaptée aux soins et observabilitéavec des runbooks, des tableaux de bord partagés pour les domaines et le numérique, et des alertes alignées sur les priorités cliniques.
- Recouvrement résilient dès la conception : sauvegardes 3-2-1, sauvegarde hors ligne, exercices de restauration réguliers et configurations de base protégées pour le DME, le SGB et l'identité.
- Personnes et pratiques : exercices basés sur les rôles et brefs rafraîchissements juste à temps, des porteurs à l'approvisionnement en passant par la pédiatrie, y compris des conseils clairs sur l'utilisation sûre des chatbots.
- Build it in : sécurité basée sur le BIM pour les nouvelles constructions et les rénovations afin que les contrôles s'alignent sur les installations et les aménagements cliniques, du premier câble à la mise en service.
- Compliance in operation : ANSSI, CaRE et NIS2 intégrés dans les processus quotidiens, avec des dossiers de preuves clairs pour les audits.
Sécurité par conception : le Grand Hôpital de Charleroi
Le Grand Hôpital de Charleroi montre à quoi ressemble la "cybersécurité par conception" dans la pratique. Cet établissement de 156 000 m² comprenant 23 salles d'opération et 32 unités de soins intensifs a été construit comme un système connecté et résilient dès le premier jour. Des milliers de points de contrôle d'accès, un câblage structuré et une alimentation électrique à haute disponibilité ont tous été planifiés à l'aide du BIM ; il ne s'agit pas de technologie pour la technologie, mais d'une architecture permettant un zonage strict, des lignes de base claires et une réponse plus rapide aux incidents dans les systèmes cliniques et les systèmes du bâtiment.
Au jour le jour, cela signifie que les contrôles d'identité et de réseau correspondent directement aux espaces physiques et aux processus critiques. Les changements s'accompagnent d'une sécurité par défaut intégrée. Les installations et les équipes numériques travaillent à partir du même modèle de propriété. En cas d'alerte, chacun sait qui décide quoi et quels systèmes peuvent être mis hors ligne en toute sécurité.
Faire passer la cybersécurité de la priorité au sol à la routine en arrière-plan
Les moments les plus agréables et les plus difficiles d'un poste de travail devraient résulter des soins apportés aux personnes, et non de la lutte contre les systèmes. Les bons jours, tout ce qui permet à un hôpital de fonctionner passe inaperçu. Lorsque l'électricité, l'air, l'eau, les données et les personnes se déplacent ensemble, les soins circulent : La pression se stabilise dans les salles d'opération, les lecteurs de badges clignotent, les dossiers s'ouvrent et les salles d'opération maintiennent le bâtiment en vie. La cybersécurité est la raison pour laquelle la routine reste la routine.
A Equans, nous vous aidons à faire des choix pratiques, à construire des systèmes résilients et à former des équipes, de sorte qu'une journée difficile ne soit jamais aggravée par une crise. Que vous planifiez un nouveau site, que vous modernisiez un site existant ou que vous examiniez la conformité, nous travaillons avec vous et vos partenaires pour concevoir une technologie qui fonctionne de manière fiable en arrière-plan et une cybersécurité qui la maintient, afin que les soins puissent être votre première priorité.
En résumé :
Les hôpitaux sont des cibles de choix : les soins de santé combinent des données hautement critiques et sensibles, ce qui fait que les défaillances en matière de cybersécurité ont un impact direct sur la vie des patients.
La plupart des attaques commencent à petite échelle - hameçonnage, identifiants faibles, dispositifs IoMT non corrigés ou interfaces OT exposées, mais se propagent rapidement dans les hôpitaux.
Les personnes et l'identité restent les principaux points d'entrée ; l'authentification multifactorielle et l'hygiène des informations d'identification ne sont pas négociables.
Les dispositifs médicaux connectés (IoMT) et les systèmes de construction (BMS/OT) élargissent la surface d'attaque et nécessitent une visibilité, une surveillance et un zonage.
Les meilleures pratiques incluent des inventaires d'actifs en temps réel, une segmentation forte, une surveillance axée sur l'impact, des sauvegardes résilientes et une formation basée sur les rôles.
La conformité (NIS2, ANSSI, CaRE) et la planification de la résilience sont désormais des éléments essentiels des opérations de soins de santé.
Le coût de la négligence est élevé : des dizaines de millions en remédiation, perte de revenus et atteinte à la réputation.
Les hôpitaux "secure-by-design" comme le Grand Hôpital de Charleroi prouvent que l'intégration de la cybersécurité dès le premier jour garantit une prestation de soins plus fluide et une meilleure préparation aux crises.
Les hôpitaux "secure-by-design" comme le Grand Hôpital de Charleroi prouvent que l'intégration de la cybersécurité dès le premier jour garantit une prestation de soins plus fluide et une meilleure préparation aux crises.
