[Tribune publique] Cybersécurité hospitalière : un scandale silencieux ?

Une tribune publique cosignée par :

• Vincent Trely : Président de l’APSSIS
• Beatrice Berard : Secrétaire Générale du club des RSSI Santé
• Remi Tilly : Directeur du département sécurité des systèmes d’informations chez Sesan
• Emilie Legardien : RSSI GHT Collines de Normandie
• David Berenfus : Cofondateur de Cyber Show Paris, partenaire APSSIS

Janvier 2026. La cybersécurité hospitalière demeure l’un des points les plus vulnérables du système de santé. Alors que la numérisation des parcours de soin progresse, les infrastructures techniques sur lesquelles reposent les établissements restent, dans de nombreux cas, insuffisamment sécurisées ou tout simplement obsolètes.

Ce décalage n’est pas nouveau : équipes informatiques, RSSI, DSI et biomédicaux tirent depuis longtemps la sonnette d’alarme. Pourtant, les arbitrages nécessaires tardent à venir.

Sur le terrain, les constats sont répétitifs. Des machines médicales essentielles fonctionnent encore sous Windows XP. Certains équipements d’imagerie, comme les IRM ou scanners, sont connectés au système d’information sans protection adaptée. Des dispositifs critiques n’ont pas reçu de mises à jour depuis plusieurs années. Dans plusieurs hôpitaux, aucune stratégie budgétée de remplacement n’est prévue pour les trois prochaines années. Les équipes voient les risques, mais n’ont pas les moyens d’agir.

Des signaux d’alerte ignorés depuis trop longtemps

Agence de l’Union européenne pour la cybersécurité (ENISA) rappelait en 2024 que la santé figure parmi les trois secteurs les plus ciblés en Europe. Un constat partagé par la Cour des comptes, qui soulignait dans son rapport « Sécurité informatique des établissements de santé » (2025) que 10 % des cyberattaques recensées en France en 2023 avaient touché des établissements de santé.

Le système hospitalier tolère aujourd’hui des conditions d’exploitation auxquelles aucune banque, aucune assurance, aucune entreprise industrielle n’accepterait de s’exposer. Des équipements situés au plus près du parcours patient fonctionnent sans patchs, sans supervision, parfois sans support constructeur. Ces failles ne sont pas théoriques : elles représentent un risque direct pour la continuité du soin.

Le système hospitalier en attente d’arbitrages forts

Il serait pourtant injuste de pointer du doigt les équipes hospitalières. Elles font face à une équation complexe : gérer des infrastructures critiques, assurer la continuité du soin, absorber la pression opérationnelle, tout en composant avec des budgets contraints et une dette technologique accumulée. Les RSSI et les DSI savent ce qu’il faudrait faire. Ils connaissent les priorités, les risques, les urgences. Ce qui manque, ce n’est ni la compétence, ni la lucidité : c’est la capacité d’agir.

La cybersécurité hospitalière n’est plus seulement un sujet technique. C’est un enjeu de gouvernance, d’investissement public et de sécurité des patients. Tant qu’il n’y aura pas de plan pluriannuel de remplacement des équipements obsolètes, de normalisation des pratiques, de mutualisation de la supervision et de renforcement des équipes locales, les failles resteront ouvertes.

Avancer collectivement pour protéger patients et infrastructures

Un effort coordonné entre établissements, ARS, acteurs publics et industriels est indispensable pour sortir de ce modèle réactif. Pour intégrer durablement la cybersécurité dans les arbitrages budgétaires, et partager les retours d’expérience entre hôpitaux, pour faire progresser l’ensemble du système.

En écho à cet enjeu collectif, le Cyber Show Paris proposera pour la première fois une journée dédiée à la cybersécurité du secteur santé, organisée en collaboration avec l’Apssis, l’Association pour la Sécurité des Systèmes d’Information de Santé.