Le lien entre cybersécurité et santé ne relève plus seulement de l’enjeu technique, mais touche des sujets éthique, politique et humain, explique Imed Bougzhala dans sa nouvelle chronique. Avec à la clé un défi de formation à relever.
La transformation numérique du secteur de la santé est l’une des plus profondes et structurantes de ces dernières décennies. Dossiers médicaux partagés, objets connectés de santé, téléconsultations, imagerie numérique, plateformes hospitalières interopérables, intelligence artificielle pour le diagnostic… autant d’avancées qui participent à une médecine plus personnalisée, plus rapide et potentiellement plus efficace. Mais cette dynamique de modernisation a un revers de la médaille : l’exposition croissante à des risques cyber qui, dans le secteur de la santé, peuvent entraîner des conséquences dramatiques, bien au-delà de la perte de données. Le lien entre cybersécurité et santé ne relève plus du simple enjeu technique : il s’agit désormais d’un enjeu éthique, politique et humain. La protection des systèmes d’information hospitaliers, la confidentialité des données de santé et la continuité des soins dépendent directement de la robustesse des dispositifs de sécurité numérique.
Un secteur sous tension, cible privilégiée des cyberattaques
Depuis plusieurs années, les établissements de santé sont devenus des cibles de choix pour les cybercriminels. En cause : un écosystème à la fois fragile, dispersé et souvent mal préparé face aux menaces informatiques. Les attaques par rançongiciel (ransomware) se sont multipliées. En France, des hôpitaux comme ceux de Dax, Villefranche-sur-Saône, Corbeil-Essonnes ou Versailles en ont été victimes ces dernières années, entraînant l’interruption temporaire des services, la fermeture des systèmes informatiques, le retour aux dossiers papier, voire des évacuations de patients. Pourquoi une telle recrudescence ? Parce que les données de santé ont une valeur marchande élevée sur le dark web, et parce que la pression temporelle dans le secteur médical pousse souvent les établissements à payer pour retrouver l’accès à leurs systèmes. De plus, les systèmes informatiques hospitaliers sont souvent anciens, peu homogènes, sous-dotés en personnel IT et soumis à des contraintes budgétaires fortes, rendant difficile une montée en puissance rapide des dispositifs de cybersécurité. Le rapport annuel de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) souligne que les établissements de santé font désormais partie des « infrastructures critiques », au même titre que les réseaux électriques ou les systèmes de transport. Le lien entre santé et sécurité numérique n’est donc plus secondaire, mais essentiel à la résilience du système de soins.
Des données sensibles et des enjeux éthiques majeurs
Les données de santé ne sont pas des données comme les autres. Elles concernent l’intimité des individus, leur histoire médicale, parfois leur génétique, leurs antécédents psychologiques, leurs traitements en cours. La violation de ces données ne touche pas seulement à la vie privée, elle peut engendrer des discriminations, de la stigmatisation, des abus. Le RGPD (Règlement général sur la protection des données) les classe d’ailleurs comme « données sensibles », nécessitant des mesures de protection renforcées. Mais au-delà de la réglementation, c’est la confiance entre le patient et le système de santé qui est en jeu. Si les citoyens doutent de la capacité des institutions à sécuriser leurs données, ils peuvent hésiter à recourir à certains services ou à partager des informations importantes, au détriment de leur propre prise en charge. L’éthique numérique en santé ne se limite donc pas à une protection juridique. Elle pose des questions fondamentales sur la gouvernance des données, le consentement éclairé, la transparence des traitements algorithmiques et la responsabilité en cas de fuite ou d’attaque.
Santé connectée : des objets à protéger
L’essor des dispositifs médicaux connectés (montres de santé, pacemakers intelligents, pompes à insuline, patchs connectés, etc.) ajoute une nouvelle couche de complexité. Ces objets, qui collectent en continu des données sensibles et parfois contrôlent des fonctions vitales, sont eux aussi vulnérables à des intrusions malveillantes. Des chercheurs ont démontré qu’il était théoriquement possible de pirater un pacemaker ou de manipuler à distance une pompe à perfusion. Bien que ces scénarios restent rares, ils illustrent la nécessité d’intégrer dès la conception des dispositifs une cybersécurité « by design », en étroite collaboration entre ingénieurs, médecins et experts en sécurité.
La sécurité des patients ne dépend donc plus seulement de l’expertise médicale, mais aussi de la fiabilité des technologies numériques qui les entourent.
Former, anticiper, gouverner
Face à ces enjeux, plusieurs leviers d’action apparaissent indispensables. Le premier est la formation. Beaucoup d’acteurs du monde de la santé (personnels soignants, administratifs, dirigeants) n’ont pas encore reçu de formation spécifique à la cybersécurité, et ignorent parfois les bonnes pratiques élémentaires : ne pas cliquer sur des liens suspects, ne pas utiliser des mots de passe faibles, signaler les comportements anormaux. Ensuite vient la gouvernance des systèmes d’information. Il est essentiel que les établissements de santé disposent de responsables cybersécurité dédiés, de plans de réponse aux incidents, de systèmes de sauvegarde robustes et régulièrement testés. Il s’agit de passer d’une posture réactive à une approche préventive et résiliente. Enfin, il faut un pilotage au niveau national, voire européen. Des initiatives telles que Mon espace santé, en France, ou le Health Data Hub, doivent intégrer des dispositifs de sécurité de haut niveau, et faire l’objet d’un contrôle démocratique quant à l’usage des données collectées.
Une culture de la sécurité à construire
Plus qu’un enjeu technique, la cybersécurité en santé exige un changement culturel. Il ne s’agit pas seulement de se protéger contre des attaques extérieures, mais de penser la sécurité comme un élément constitutif de la qualité des soins. Une consultation bien menée, un diagnostic juste, un traitement efficace… tout cela peut être compromis si les outils numériques sont corrompus, inaccessibles ou mal utilisés. À l’heure où l’IA entre de plus en plus dans les processus de décision médicale, où les données de santé alimentent la recherche biomédicale, et où les parcours de soins se digitalisent, la cybersécurité devient un pilier fondamental de la santé du XXIe siècle. C’est une responsabilité partagée entre les soignants, les décideurs, les développeurs et les citoyens. Pour que le numérique reste une chance et non une menace, il est temps de faire de la cybersécurité en santé une priorité stratégique, humaine et collective. Dans cette perspective, l’ensIIE s’engage avec le lancement d’un Mastère Spécialisé (MS en deux ans) à partir de janvier 2026, accrédité par la CGE, consacré à la cybersécurité pour la santé (cybersanté).