L’Observatoire 2025 des incidents de sécurité des systèmes d’information en santé et médico-social vient d’être publié. La menace cyber reste élevée, et les établissements concernés sont en hausse.
L’année dernière, 764 incidents de sécurité ont été déclarés au CERT Santé (portail de référence concernant la gestion des menaces de cybersécurité pour les établissements du secteur). Si ce nombre reste quasiment stable par rapport à 2024 (749), il «confirme une réalité désormais installée : la menace cyber fait partie du quotidien des établissements de santé», observe l’Agence du numérique en santé. En revanche, le nombre d’établissements (606) ayant déclaré au moins un incident est en augmentation de 9% comparé à l’année précédente. Les signalements s’accroissent fortement dans le champ médico-social (+48%).
La menace la plus importante est la compromission du SI. En revanche, le nombre d’incidents liés aux rançongiciels diminue de 30% par rapport à 2024. Ils concernent majoritairement des établissements et services médicosociaux.
Le nombre d’incidents ayant un impact sur la prise en charge des patients grimpe de 24% sur un an. L’année dernière, 288 signalements reçus indiquent que les établissements ont été contraints de passer en mode dégradé ou d’interrompre la prise en charge soit 38% des signalements reçus. Seuls 25% de ces incidents ont une origine malveillante, les 3 causes principales étant la perte de lien télécom, un bug applicatif ou un dysfonctionnement de l’infrastructure locale ou du prestataire. Par ailleurs, le nombre d’incidents majeurs poursuit sa baisse, 2 étant recensés en 2025 contre 3 l’année précédente.
Les événements d’origine malveillante (rançongiciel, compromissions du SI, vol d’équipement, défacement de site, fuite d’information) connaissent une forte hausse (22%) représentant 53% des signalements. D’après le rapport d’activité, les établissements de santé sont désormais mieux préparés aux crises d’origine cyber, en particulier grâce au déploiement d’exercices de gestion de crise. Ainsi 79 % se considèrent assez bien ou bien préparés à ces risques.
