Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.
Voici quelques erreurs de sécurité informatique pour lesquelles des solutions simples peuvent ainsi être envisagées afin de protéger les données sensibles des établissements de santé.
🟠 1 – L’oubli des mises à jour logicielles : une faille évitable
L’une des erreurs les plus courantes reste le manque de mise à jour des logiciels, un geste pourtant fondamental en matière de sécurité informatique. Les établissements de santé utilisent souvent des logiciels spécifiques dont les mises à jour sont parfois négligées, faute de temps ou de ressources. Cependant, chaque mise à jour apporte des correctifs qui comblent des failles potentielles exploitées par les cybercriminels.
Des solutions existent pour automatiser ces mises à jour ou pour planifier des créneaux spécifiques de maintenance afin de s’assurer que les outils utilisés sont toujours à jour et sécurisés. Une simple procédure régulière peut ainsi prévenir bien des vulnérabilités.
🟠 2 – Des mots de passe insuffisamment sécurisés
Le choix de mots de passe complexes et leur renouvellement fréquent semblent évidents, mais ils sont souvent ignorés dans les établissements de santé. Beaucoup d’employés utilisent encore des mots de passe simples ou des variantes de leurs identifiants de connexion, augmentant ainsi le risque de piratage.
Pour pallier ce risque, l’instauration de politiques de mots de passe robustes, couplée à une formation des employés sur l’importance de la sécurité, peut suffire à réduire le risque d’intrusion. Une autre option consiste à implémenter des solutions de gestion de mots de passe qui simplifient la création et la gestion de mots de passe forts pour l’ensemble du personnel.
🟠 3 – Une absence de segmentation des réseaux interne
Dans de nombreux hôpitaux et établissements de santé, le réseau informatique est peu ou mal segmenté, facilitant ainsi l’accès des cybercriminels à l’ensemble du système en cas d’intrusion. Cette absence de cloisonnement interne rend l’attaque potentiellement dévastatrice, car une faille dans un sous-réseau peut compromettre tout l’écosystème numérique de l’établissement.
La segmentation des réseaux permet de limiter la propagation des menaces et de protéger les zones les plus sensibles. Par exemple, le réseau dédié aux dossiers médicaux peut être isolé des autres segments du réseau, réduisant ainsi l’impact potentiel d’une brèche de sécurité.
🟠 4 – Des sauvegardes non sécurisées ou incomplètes
Si les sauvegardes sont désormais une pratique courante, beaucoup d’établissements de santé n’appliquent pas de mesures de sécurité suffisantes pour les protéger. Certaines sauvegardes sont même réalisées sur des supports non sécurisés ou sans plan de récupération en cas de perte de données, ce qui laisse les informations sensibles exposées aux cyberattaques.
Pour éviter de tels risques, il est indispensable de stocker les sauvegardes sur des serveurs sécurisés et de tester régulièrement les procédures de restauration. Des sauvegardes sécurisées et fréquentes permettent de garantir la continuité des soins et la protection des données.
🟠 5 – Une sensibilisation insuffisante du personnel aux risques informatiques
Les cyberattaques réussissent souvent en raison d’un manque de vigilance ou d’une méconnaissance des bonnes pratiques par le personnel. Les erreurs humaines, comme l’ouverture de fichiers ou de liens frauduleux, sont l’une des principales sources d’incidents de sécurité.
Investir dans des programmes de formation réguliers et adaptés à tous les niveaux de l’organisation permet de sensibiliser le personnel aux risques informatiques et de leur apprendre à identifier les tentatives de phishing ou autres menaces courantes. La sensibilisation est un investissement peu coûteux mais qui peut s’avérer essentiel pour renforcer la sécurité informatique globale.
🟠 6 – Un manque de contrôle des accès au système
Enfin, de nombreux établissements de santé n’ont pas de politique stricte de gestion des accès. Les droits d’accès des utilisateurs sont souvent trop étendus, laissant un large éventail de personnes accéder à des données sensibles sans justification.
Une bonne pratique consiste à adopter une politique de « moindre privilège », où chaque employé dispose uniquement des accès nécessaires à l’exercice de ses fonctions. Cette approche limite l’exposition des données sensibles en cas de compromission d’un compte.
🟠 Conclusion
Bien que les cyberattaques visant les établissements de santé aient quelque peu ralenti, les erreurs de sécurité de base demeurent un problème récurrent. Les solutions pour y remédier ne nécessitent pourtant ni investissements massifs ni ressources excessives : des mises à jour régulières, des politiques de mots de passe renforcées, une segmentation des réseaux, des sauvegardes sécurisées, la sensibilisation du personnel et une gestion stricte des accès peuvent faire une réelle différence. En appliquant ces mesures simples, les hôpitaux et établissements de santé peuvent mieux protéger leurs données et assurer la continuité des soins en toute sécurité.
Pour en savoir plus / sources :
Le Comité européen de la protection des données (CEPD) a récemment tenu une réunion importante, les 2 et 3 décembre 2025, pour discuter de l’avenir du cadre juridique européen en matière de protection des données. À l’ordre du jour figuraient l’adoption de nouvelles lignes directrices sur la création de comptes en ligne ainsi que des bonnes pratiques sur son fonctionnement.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment prononcé une sanction de 1,5 million d’euros contre American Express Carte France. Cette décision illustre la vigilance accrue de l’autorité française en matière de protection des données personnelles et de respect du cadre légal sur les traceurs numériques.
La Commission nationale de l’informatique et des libertés (CNIL) poursuit son action de contrôle sur le respect des droits numériques des citoyens. Le 20 novembre 2025, elle a infligé une amende de 750 000 euros à la société Les Publications Condé Nast, éditrice du magazine Vanity Fair en France, pour non-conformité aux règles relatives aux cookies. Cette décision illustre la vigilance accrue de l’autorité française face aux pratiques en ligne qui menacent la transparence et la protection des données personnelles.
La cybercriminalité n’est plus un sujet réservé aux experts en informatique, elle touche désormais chacun d’entre nous. Derrière ce terme se cachent des pratiques variées tels que : vols de données, piratages de comptes, escroqueries en ligne qui peuvent avoir des conséquences bien réelles sur notre vie quotidienne.