Cybersécurité à l'hôpital : les directions s'impliquent, mais les moyens restent insuffisants

La cybersécurité est-elle enfin prise au sérieux dans les établissements de santé français ? L’Agence du Numérique en Santé (ANS) apporte une réponse nuancée à travers une enquête nationale inédite, dévoilée lors de ses premières Rencontres de la Cybersécurité en Santé, qui ont rassemblé plus de 220 participants à PariSanté Campus le 12 mars 2026.

Une prise de conscience à la tête des établissements

L’étude, réalisée par le cabinet Occurrence en 2025 auprès de 719 directeurs d’établissements de santé, révèle une progression significative de l’implication des directions générales sur les sujets cyber :

• 86 % des directions générales participent désormais aux exercices de crise cyber
• 72 % des directeurs s’impliquent personnellement dans l’élaboration du plan de prévention des risques
• 9 directeurs sur 10 plébiscitent la mutualisation des expertises à l’échelle territoriale

Ce changement de posture traduit une évolution majeure : la cybersécurité n’est plus perçue comme une affaire exclusivement technique confiée aux DSI, mais comme une responsabilité de gouvernance portée au plus haut niveau des établissements.

764 incidents en 2025 : la menace reste bien réelle

Si la prise de conscience progresse, la menace ne faiblit pas. 764 incidents cyber ont été déclarés dans le secteur de la santé en 2025, confirmant que les établissements demeurent des cibles privilégiées des attaquants. En cas d’incident, les directeurs placent la continuité des soins en priorité absolue (4,1/5), devant le coût financier (3,9/5) et la qualité de vie au travail (3,8/5).

Le talon d’Achille : le budget

Le constat le plus préoccupant de l’enquête reste le fossé entre la volonté politique et les moyens alloués : 42 % des directeurs déclarent que leurs budgets et ressources sont insuffisants pour faire face aux exigences de cybersécurité.

Cette réalité budgétaire contraste avec l’ambition affichée et rappelle que la transformation culturelle, bien qu’engagée, ne pourra produire ses effets que si elle s’accompagne d’investissements durables. La situation est d’autant plus préoccupante que les établissements de santé traitent des données parmi les plus sensibles qui soient.

Le programme CaRE comme levier de financement

Face à cette contrainte, le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) est identifié par les directeurs comme le levier de financement crucial à moyen et long terme. Lancé dans le sillage du Ségur du numérique, CaRE vise à doter les établissements d’un socle de sécurité conforme aux exigences du référentiel HDS (Hébergeur de Données de Santé) et aux obligations du décret du 15 mars 2024 sur les éditeurs de services numériques en santé.

La coopération territoriale est également mise en avant, via les Centres Régionaux de Ressources Cyber et les Agences Régionales de Santé (ARS), dont le rôle d’animation et de soutien de proximité est plébiscité.

Un signal pour accélérer les investissements

Ces premières Rencontres de la Cybersécurité en Santé organisées par l’ANS marquent la volonté d’institutionnaliser le dialogue entre les acteurs du terrain et les pouvoirs publics. Jean-Christophe Zerbini, directeur de l’ANS, a souligné lors de l’événement la nécessité d’une approche coordonnée pour élever durablement le niveau de maturité cyber du secteur.

Pour les éditeurs et intégrateurs de solutions de santé numérique, ce tableau de bord national constitue un signal clair : la demande en expertise cybersécurité va croître, et les établissements attendent des partenaires à même de les accompagner dans la durée — pas seulement à l’occasion d’un incident.

Sources

• TICsanté – Mieux prise en compte, la lutte contre la cybermenace pâtit toujours d’un manque de moyens (19/03/2026)
• ANS – Plus de 700 directeurs hospitaliers mobilisés pour mesurer la perception du risque cyber (12/03/2026)