Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.
Voici quelques erreurs de sécurité informatique pour lesquelles des solutions simples peuvent ainsi être envisagées afin de protéger les données sensibles des établissements de santé.
🟠 1 – L’oubli des mises à jour logicielles : une faille évitable
L’une des erreurs les plus courantes reste le manque de mise à jour des logiciels, un geste pourtant fondamental en matière de sécurité informatique. Les établissements de santé utilisent souvent des logiciels spécifiques dont les mises à jour sont parfois négligées, faute de temps ou de ressources. Cependant, chaque mise à jour apporte des correctifs qui comblent des failles potentielles exploitées par les cybercriminels.
Des solutions existent pour automatiser ces mises à jour ou pour planifier des créneaux spécifiques de maintenance afin de s’assurer que les outils utilisés sont toujours à jour et sécurisés. Une simple procédure régulière peut ainsi prévenir bien des vulnérabilités.
🟠 2 – Des mots de passe insuffisamment sécurisés
Le choix de mots de passe complexes et leur renouvellement fréquent semblent évidents, mais ils sont souvent ignorés dans les établissements de santé. Beaucoup d’employés utilisent encore des mots de passe simples ou des variantes de leurs identifiants de connexion, augmentant ainsi le risque de piratage.
Pour pallier ce risque, l’instauration de politiques de mots de passe robustes, couplée à une formation des employés sur l’importance de la sécurité, peut suffire à réduire le risque d’intrusion. Une autre option consiste à implémenter des solutions de gestion de mots de passe qui simplifient la création et la gestion de mots de passe forts pour l’ensemble du personnel.
🟠 3 – Une absence de segmentation des réseaux interne
Dans de nombreux hôpitaux et établissements de santé, le réseau informatique est peu ou mal segmenté, facilitant ainsi l’accès des cybercriminels à l’ensemble du système en cas d’intrusion. Cette absence de cloisonnement interne rend l’attaque potentiellement dévastatrice, car une faille dans un sous-réseau peut compromettre tout l’écosystème numérique de l’établissement.
La segmentation des réseaux permet de limiter la propagation des menaces et de protéger les zones les plus sensibles. Par exemple, le réseau dédié aux dossiers médicaux peut être isolé des autres segments du réseau, réduisant ainsi l’impact potentiel d’une brèche de sécurité.
🟠 4 – Des sauvegardes non sécurisées ou incomplètes
Si les sauvegardes sont désormais une pratique courante, beaucoup d’établissements de santé n’appliquent pas de mesures de sécurité suffisantes pour les protéger. Certaines sauvegardes sont même réalisées sur des supports non sécurisés ou sans plan de récupération en cas de perte de données, ce qui laisse les informations sensibles exposées aux cyberattaques.
Pour éviter de tels risques, il est indispensable de stocker les sauvegardes sur des serveurs sécurisés et de tester régulièrement les procédures de restauration. Des sauvegardes sécurisées et fréquentes permettent de garantir la continuité des soins et la protection des données.
🟠 5 – Une sensibilisation insuffisante du personnel aux risques informatiques
Les cyberattaques réussissent souvent en raison d’un manque de vigilance ou d’une méconnaissance des bonnes pratiques par le personnel. Les erreurs humaines, comme l’ouverture de fichiers ou de liens frauduleux, sont l’une des principales sources d’incidents de sécurité.
Investir dans des programmes de formation réguliers et adaptés à tous les niveaux de l’organisation permet de sensibiliser le personnel aux risques informatiques et de leur apprendre à identifier les tentatives de phishing ou autres menaces courantes. La sensibilisation est un investissement peu coûteux mais qui peut s’avérer essentiel pour renforcer la sécurité informatique globale.
🟠 6 – Un manque de contrôle des accès au système
Enfin, de nombreux établissements de santé n’ont pas de politique stricte de gestion des accès. Les droits d’accès des utilisateurs sont souvent trop étendus, laissant un large éventail de personnes accéder à des données sensibles sans justification.
Une bonne pratique consiste à adopter une politique de « moindre privilège », où chaque employé dispose uniquement des accès nécessaires à l’exercice de ses fonctions. Cette approche limite l’exposition des données sensibles en cas de compromission d’un compte.
🟠 Conclusion
Bien que les cyberattaques visant les établissements de santé aient quelque peu ralenti, les erreurs de sécurité de base demeurent un problème récurrent. Les solutions pour y remédier ne nécessitent pourtant ni investissements massifs ni ressources excessives : des mises à jour régulières, des politiques de mots de passe renforcées, une segmentation des réseaux, des sauvegardes sécurisées, la sensibilisation du personnel et une gestion stricte des accès peuvent faire une réelle différence. En appliquant ces mesures simples, les hôpitaux et établissements de santé peuvent mieux protéger leurs données et assurer la continuité des soins en toute sécurité.
Pour en savoir plus / sources :
Cour d’appel de Paris, 26 septembre 2025 (n° 24/17222)- La cour d’appel de Paris a récemment jugé que la désactivation d’un compte Instagram pour violation des conditions d’utilisation de la plateforme ne constituait pas, en l’espèce, une atteinte disproportionnée à la liberté d’expression de son titulaire.
La Cour de cassation, dans un arrêt du 13 janvier 2026, apporte une clarification importante sur le champ d’application des infractions pénales relatives aux données personnelles, prévues aux articles 226-21 et 226-22 du Code pénal. La décision rappelle que ces deux textes ne visent pas les mêmes types de traitements.
Alors que le règlement européen sur l’intelligence artificielle n’est pas encore pleinement entré en application, la Commission européenne a présenté une proposition de modification destinée à en faciliter la mise en œuvre. Inscrite dans un ensemble plus large de mesures dites « omnibus », cette initiative vise à répondre aux inquiétudes exprimées par les acteurs du numérique. Elle soulève toutefois une question centrale : s’agit-il d’une simplification technique ou d’une inflexion plus profonde des ambitions initiales du texte ?
Le Conseil d’État a rejeté le recours formé par Yahoo EMEA contre la sanction prononcée par la CNIL le 29 décembre 2023 : l’amende de 10 millions d’euros est définitivement confirmée. Une décision structurante, tant sur la compétence de la CNIL que sur les exigences de consentement libre et effectif en matière de cookies.