Cyberattaque au CHU de Zagreb : les leçons pour les hôpitaux français

Lors du congrès HIMSS Europe 2026 à Copenhague, le CHU de Zagreb a livré un témoignage rare et précieux : le récit complet de la cyberattaque qui a frappé l’établissement le 27 juin 2024, peu après minuit. Premier hôpital de Croatie avec plus de 1 800 lits, une centaine de centres de référence et un budget annuel dépassant 550 millions d’euros, le CHU de Zagreb constitue un cas d’école dont les hôpitaux français auraient tort de ne pas s’inspirer.

Une attaque nocturne, une découverte aux urgences

L’incident a été détecté aux urgences, où les soignants ont signalé des dysfonctionnements sur les appareils d’imagerie médicale. Une stratégie délibérée de la part des attaquants : frapper la nuit, pendant les jours fériés ou en fin de semaine, lorsque les équipes informatiques sont réduites et les temps de réaction allongés.

Dražen Milković, conseiller du directeur pour les systèmes d’information et la cybersécurité, résume la vulnérabilité structurelle du secteur : “L’infrastructure numérique est très complexe, et devient de plus en plus complexe tous les ans. La surface d’attaque s’agrandit donc aussi.”

La chaîne de réponse à l’incident

Face à l’attaque, l’établissement a activé une séquence de crise en plusieurs étapes :

• Isolation immédiate du réseau pour contenir la propagation
• Alertes simultanées à la direction générale, aux autorités gouvernementales et aux fournisseurs de solutions
• Redémarrage complet de l’ensemble des serveurs et logiciels
• Analyse forensique ayant permis d’identifier des outils d’attaque « répandus », non spécifiques à l’hôpital

Cette réactivité opérationnelle a pu limiter l’impact sur la continuité des soins. Elle illustre néanmoins l’exigence d’une permanence informatique 24 h/24, condition indispensable à une détection et une réponse rapides.

Des enseignements directement transposables en France

Le secteur de la santé français n’est pas épargné. Le rapport annuel du CERT Santé 2025 recensait déjà 764 incidents de sécurité sur l’année, et le niveau de menace reste élevé en 2026. Plusieurs parallèles s’imposent :

• La fenêtre temporelle des attaquants : cibler les nuits et week-ends est une tactique documentée. La permanence informatique reste insuffisante dans nombre d’établissements.
• La complexité croissante des SI : l’intégration de dispositifs médicaux connectés, d’applications cloud et de plateformes SaaS élargit mécaniquement la surface d’exposition.
• L’IA au service des attaquants : comme le souligne le DSIH, les outils d’intelligence artificielle permettent désormais de découvrir et exploiter des vulnérabilités à un rythme inédit — des cycles d’attaque en heures, contre des cycles de correctifs en jours ou semaines.

Vers une résilience structurée

Le retour d’expérience du CHU de Zagreb plaide pour une approche systémique : anticiper les scénarios de crise, tester régulièrement les plans de continuité informatique (PCI) et renforcer les postures de détection nocturne. Des impératifs que le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) et les recommandations de l’ANS en France tentent d’adresser — mais dont la mise en œuvre effective reste un défi quotidien pour les DSI hospitaliers.

Sources

• Ce que le plus grand hôpital de Croatie a appris de sa cyberattaque (TicSanté, 05/06/2026)
• De l’impact de l’IA sur la cyber : échange avec un acteur majeur de la cyber (DSIH, 01/06/2026)
• Cybersécurité : un niveau de menace qui s’installe, une résilience qui s’organise (ANS, 05/05/2026)