Seuls 15 % des établissements ont connu un incident cyber perturbateur ces 3 dernières années, mais moins d’1 sur 6 se sentait réellement bien préparé au moment des faits, selon la première enquête nationale, coconstruite par l’Agence du numérique en santé (ANS) avec les fédérations hospitalières, auprès de 719 directeurs d’établissements de santé.
L’Agence du numérique en santé analyse, dans une enquête, la gestion de la cybersécurité dans les établissements de santé à moyen terme. Seuls 15 % des établissements ont connu un incident cyber perturbateur ces 3 dernières années, mais peu se sentaient bien préparés.« Même sans incident subi, la majorité des directeurs restent lucides sur leur niveau de préparation, seuls 13% se déclarent bien préparés », note-t-elle parmi ses nombreux constats. De manière générale, l’enquête souligne « un véritable hiatus » entre les ambitions et les moyens alloués dans ce domaine. « Si la cybersécurité est bien inscrite à l’agenda des directions générales (exercices de crise, réunions sécurité des systèmes d’information, implication directe), 42% des directeurs estiment ne pas avoir les moyens nécessaires pour un plan de prévention adapté. Ce constat est accentué dans les établissements publics et non lucratifs ».
L’enquête pointe également un arbitrage budgétaire défavorable à la cybersécurité : « 60% des établissements consacrent moins de 5% de leur CAPEX informatique à la cybersécurité, et plus d’un sur quatre moins de 1% ». Dans ce contexte, les actions perçues comme les plus accessibles sont la sensibilisation du personnel, les exercices de crise et l’actualisation documentaire.
Des réflexes bien identifiés face à la crise
Côté bonne nouvelle, les établissements se montrent réactifs : « en cas d’attaque, les directeurs privilégient deux réponses : la mobilisation rapide d’experts techniques (84%) et la mise à disposition de matériel pour assurer la continuité des soins (73%). En revanche, la communication de crise ou l’appui d’un pair expérimenté restent très secondaires ». Parmi les conséquences perçues d’un incident cyber, les directions interrogées citent en premier lieu la continuité des soins et la sécurité des patients. Elles placent en troisième position des enjeux de qualité de vie au travail, à cause du stress qu’elles induisent. Interrogés sur les enseignements à tirer : 73% des répondants estiment comme priorité absolue « la mise à disposition de matériel informatique et téléphonique pour reprendre l’activité ». 84% d’entre eux citent également « l’identification d’experts techniques mobilisables instantanément ».
- Étude sur la cybersécurité des établissements de santé, ANS. https://esante.gouv.fr/sites/default/files/media/document/Resultats-enquete-cyber-2025-ANS.pdf
