Si les cyberattaques contre les hôpitaux et établissements de santé ont montré des signes de ralentissement, il n’en reste pas moins que de nombreuses vulnérabilités persistent dans les systèmes informatiques de ces structures. Ces failles, souvent dues à des erreurs basiques de sécurité, peuvent être corrigées sans grand investissement et contribuent pourtant de manière significative à l’amélioration de la sécurité informatique. Lors d’un récent webinaire organisé par le Centre d’alerte et de rédaction aux attaques informatiques, des erreurs fréquentes et facilement évitables ont été identifiées.
Voici quelques erreurs de sécurité informatique pour lesquelles des solutions simples peuvent ainsi être envisagées afin de protéger les données sensibles des établissements de santé.
🟠 1 – L’oubli des mises à jour logicielles : une faille évitable
L’une des erreurs les plus courantes reste le manque de mise à jour des logiciels, un geste pourtant fondamental en matière de sécurité informatique. Les établissements de santé utilisent souvent des logiciels spécifiques dont les mises à jour sont parfois négligées, faute de temps ou de ressources. Cependant, chaque mise à jour apporte des correctifs qui comblent des failles potentielles exploitées par les cybercriminels.
Des solutions existent pour automatiser ces mises à jour ou pour planifier des créneaux spécifiques de maintenance afin de s’assurer que les outils utilisés sont toujours à jour et sécurisés. Une simple procédure régulière peut ainsi prévenir bien des vulnérabilités.
🟠 2 – Des mots de passe insuffisamment sécurisés
Le choix de mots de passe complexes et leur renouvellement fréquent semblent évidents, mais ils sont souvent ignorés dans les établissements de santé. Beaucoup d’employés utilisent encore des mots de passe simples ou des variantes de leurs identifiants de connexion, augmentant ainsi le risque de piratage.
Pour pallier ce risque, l’instauration de politiques de mots de passe robustes, couplée à une formation des employés sur l’importance de la sécurité, peut suffire à réduire le risque d’intrusion. Une autre option consiste à implémenter des solutions de gestion de mots de passe qui simplifient la création et la gestion de mots de passe forts pour l’ensemble du personnel.
🟠 3 – Une absence de segmentation des réseaux interne
Dans de nombreux hôpitaux et établissements de santé, le réseau informatique est peu ou mal segmenté, facilitant ainsi l’accès des cybercriminels à l’ensemble du système en cas d’intrusion. Cette absence de cloisonnement interne rend l’attaque potentiellement dévastatrice, car une faille dans un sous-réseau peut compromettre tout l’écosystème numérique de l’établissement.
La segmentation des réseaux permet de limiter la propagation des menaces et de protéger les zones les plus sensibles. Par exemple, le réseau dédié aux dossiers médicaux peut être isolé des autres segments du réseau, réduisant ainsi l’impact potentiel d’une brèche de sécurité.
🟠 4 – Des sauvegardes non sécurisées ou incomplètes
Si les sauvegardes sont désormais une pratique courante, beaucoup d’établissements de santé n’appliquent pas de mesures de sécurité suffisantes pour les protéger. Certaines sauvegardes sont même réalisées sur des supports non sécurisés ou sans plan de récupération en cas de perte de données, ce qui laisse les informations sensibles exposées aux cyberattaques.
Pour éviter de tels risques, il est indispensable de stocker les sauvegardes sur des serveurs sécurisés et de tester régulièrement les procédures de restauration. Des sauvegardes sécurisées et fréquentes permettent de garantir la continuité des soins et la protection des données.
🟠 5 – Une sensibilisation insuffisante du personnel aux risques informatiques
Les cyberattaques réussissent souvent en raison d’un manque de vigilance ou d’une méconnaissance des bonnes pratiques par le personnel. Les erreurs humaines, comme l’ouverture de fichiers ou de liens frauduleux, sont l’une des principales sources d’incidents de sécurité.
Investir dans des programmes de formation réguliers et adaptés à tous les niveaux de l’organisation permet de sensibiliser le personnel aux risques informatiques et de leur apprendre à identifier les tentatives de phishing ou autres menaces courantes. La sensibilisation est un investissement peu coûteux mais qui peut s’avérer essentiel pour renforcer la sécurité informatique globale.
🟠 6 – Un manque de contrôle des accès au système
Enfin, de nombreux établissements de santé n’ont pas de politique stricte de gestion des accès. Les droits d’accès des utilisateurs sont souvent trop étendus, laissant un large éventail de personnes accéder à des données sensibles sans justification.
Une bonne pratique consiste à adopter une politique de « moindre privilège », où chaque employé dispose uniquement des accès nécessaires à l’exercice de ses fonctions. Cette approche limite l’exposition des données sensibles en cas de compromission d’un compte.
🟠 Conclusion
Bien que les cyberattaques visant les établissements de santé aient quelque peu ralenti, les erreurs de sécurité de base demeurent un problème récurrent. Les solutions pour y remédier ne nécessitent pourtant ni investissements massifs ni ressources excessives : des mises à jour régulières, des politiques de mots de passe renforcées, une segmentation des réseaux, des sauvegardes sécurisées, la sensibilisation du personnel et une gestion stricte des accès peuvent faire une réelle différence. En appliquant ces mesures simples, les hôpitaux et établissements de santé peuvent mieux protéger leurs données et assurer la continuité des soins en toute sécurité.
Pour en savoir plus / sources :
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.