Ou comment un secteur qui sauve des vies découvre qu’il doit aussi sauver ses données
Il y a quelques mois, un hôpital de 800 lits mettait dix-huit mois à reconstruire son système d’information après une cyberattaque. Son activité de médecine, chirurgie et obstétrique avait chuté de 20 %. Des opérations déprogrammées. Des patients réorientés. Des équipes soignantes contraintes de revenir au papier, au stylo, au téléphone interne. Pas en 1995. En 2024.
Cette histoire, rapportée par la Cour des comptes dans son rapport de janvier 2025, n’est pas un cas isolé. Elle illustre une réalité que le secteur de la santé en France a longtemps préféré ignorer : la cybersécurité n’y est plus un sujet informatique. C’est un sujet de santé publique.
Chez Rehackt, cabinet de recrutement spécialisé en cybersécurité, nous accompagnons notamment des entreprises qui traitent, hébergent ou exploitent des données de santé et qui doivent structurer et renforcer leur posture cyber. Ce que nous observons dans cet écosystème mérite qu’on s’y attarde sérieusement.
Un état des lieux qui ne rassure personne
Commençons par les faits. En 2024, le CERT Santé a enregistré 749 incidents de sécurité déclarés par 558 établissements sanitaires et médico-sociaux. C’est une hausse de 29 % par rapport à 2023 et ses 581 signalements. Parmi ces incidents, 230 ont eu un impact direct sur la prise en charge des patients, soit une augmentation de 13 % sur un an. Dans un cas sur trois, les établissements concernés ont dû passer en fonctionnement dégradé, voire interrompre des soins.
Ces chiffres appellent toutefois une nuance importante. Selon l’Agence du numérique en santé (ANS), cette hausse des déclarations traduit davantage une meilleure appropriation des dispositifs de signalement qu’une explosion de la menace elle-même. Dans le même temps, le nombre d’incidents majeurs recule : seuls quatre cas de compromission grave ont été recensés sur les quarante incidents de type rançongiciel signalés en 2024. On pourrait y voir un progrès. On pourrait aussi y voir le résultat d’un effort encore très inégalement réparti.
Car le panorama de l’ANSSI ne laisse aucune place au doute : la santé reste le troisième secteur le plus touché par les cyberattaques en France, derrière les collectivités territoriales et les TPE-PME. La part des incidents liés au secteur de la santé traités par l’ANSSI est passée de 2,87 % en 2020 à 11,4 % en 2023. Et 80 % de ces incidents sont déclarés par des établissements publics, qui ne représentent pourtant que 45 % du parc hospitalier.
Les exemples récents ne manquent pas pour illustrer la violence de ces attaques. L’hôpital d’Armentières a subi un mois complet de paralysie à cause du rançongiciel LockBit. L’attaque contre Télédiag, société de téléradiologie, a dégradé le fonctionnement de scanners et d’IRM dans plusieurs centaines d’établissements. Le centre hospitalier de Versailles, attaqué en décembre 2022, a mis près de deux ans à retrouver un fonctionnement normal. Et ces cas ne représentent que la partie visible. Comme le souligne la Cour des comptes, une proportion significative des incidents n’est pas signalée, souvent par manque de compétences internes ou par crainte de conséquences réputationnelles.
Pourquoi le secteur de la santé est structurellement vulnérable
Dire que les hôpitaux sont des cibles faciles serait réducteur (et un brin condescendant). Ce qu’il faut comprendre, c’est pourquoi ils le sont, et pourquoi les solutions classiques n’y fonctionnent pas aussi simplement qu’ailleurs.
La dette numérique, ce boulet invisible
Les hôpitaux français consacrent en moyenne 1,7 % de leur budget d’exploitation au numérique. À titre de comparaison, le secteur bancaire y consacre 9 %. Plus de 20 % des équipements informatiques hospitaliers sont obsolètes. Les systèmes d’information y sont d’une complexité redoutable : des dizaines d’applications métier, des dispositifs médicaux connectés de générations différentes, des interconnexions avec des prestataires extérieurs multiples. Chaque connexion est une porte potentielle. Et certaines de ces portes n’ont pas été mises à jour depuis des années.
La surface d’attaque du vivant
Un hôpital n’est pas une banque. On ne peut pas simplement couper les systèmes et attendre que l’équipe de réponse à incident fasse son travail. Quand un rançongiciel chiffre les serveurs d’un centre hospitalier, ce sont des blocs opératoires qui s’arrêtent, des analyses biologiques qui ne se font plus, des dossiers patients qui deviennent inaccessibles. L’enjeu n’est pas seulement financier : il est vital, au sens premier du terme. Un rapport Proofpoint-Ponemon de 2023 montrait déjà que les cyberattaques en milieu hospitalier entraînent des délais supplémentaires dans les procédures médicales, des transferts de patients et une augmentation de la durée des séjours.
Le facteur humain, amplifié
Le personnel soignant n’a pas été formé à la cybersécurité. Et pour cause : sa mission première est de soigner. Mais quand 60 % des brèches de sécurité à l’échelle mondiale impliquent un comportement humain (erreur, manipulation, abus d’accès), ignorer ce levier dans un environnement aussi dense que l’hôpital revient à laisser la porte grande ouverte. L’ingénierie sociale y trouve un terreau particulièrement fertile : urgence permanente, multiplicité des interlocuteurs, rotation des équipes.
L’effort structurel en cours : programme CaRE et cadre réglementaire
Face à cette situation, les pouvoirs publics n’ont pas été inactifs. Mais entre l’intention et l’exécution, l’écart reste considérable.
Le programme CaRE : 750 millions d’euros, mais jusqu’à quand ?
Lancé en décembre 2023 depuis le centre hospitalier de Versailles (le symbole ne manquait pas de sel), le programme CaRE (Cybersécurité, accélération et résilience des établissements) constitue la réponse la plus ambitieuse de l’État. Doté d’une enveloppe de 750 millions d’euros sur cinq ans (2023-2027), dont 250 millions jusqu’en 2025, il s’articule autour de quatre axes : gouvernance et résilience, ressources humaines et mutualisation, sensibilisation et formation, sécurité opérationnelle.
Les premiers résultats sont encourageants. Le ministère de la Santé indiquait en février 2025 que les hôpitaux étaient passés de 11 % à 4 % des cibles de rançongiciels, selon le panorama de la cybermenace 2024 de l’ANSSI. Plus de mille établissements ont été audités dans le cadre du premier volet (annuaires techniques et exposition sur internet). Le domaine 2 (stratégie de continuité et reprise d’activité) a été lancé en juillet 2025. Le domaine 3 (sécurisation des accès distants) s’ouvre en ce début d’année.
Mais la Cour des comptes a posé un avertissement clair : fin 2024, seuls 223 millions d’euros avaient été effectivement engagés, soit moins d’un tiers de l’enveloppe. Et le financement n’était garanti que jusqu’à fin 2024. La cour estime indispensable que l’engagement soit poursuivi jusqu’au terme du programme, et recommande la mise en place d’audits périodiques obligatoires pour tous les établissements. Autrement dit : le programme CaRE est une bonne nouvelle, à condition qu’il ne s’arrête pas en chemin.
NIS 2 : le cadre réglementaire qui change la donne
Parallèlement, la directive européenne NIS 2 (sécurité des réseaux et de l’information), adoptée en 2022, classe les établissements de santé parmi les entités essentielles. Concrètement, cela signifie de nouvelles obligations en matière de gouvernance de la cybersécurité, de gestion des risques, de notification des incidents et de responsabilité du dirigeant.
En France, le projet de loi de transposition a été adopté par le Sénat en mars 2025 et examiné en commission à l’Assemblée nationale en septembre 2025. L’instabilité politique a ralenti le processus, mais les débats parlementaires sont prévus début 2026. Selon les estimations, entre 750 et 1 300 établissements de santé seront directement concernés. L’ANSSI prévoit de lancer les audits de conformité trois ans après la promulgation de la loi.
Le passage de 500 à près de 15 000 entités concernées à l’échelle nationale constitue un défi considérable. Mais pour le secteur de la santé, cette contrainte réglementaire pourrait paradoxalement devenir un levier : elle force la mise en conformité là où la bonne volonté seule n’a pas suffi. C’est un peu le même mécanisme que le RGPD : personne n’en voulait, tout le monde a fini par s’y mettre, et finalement ça a fait progresser les pratiques.
Les vraies priorités : au-delà de la conformité
Se mettre en conformité, c’est nécessaire. Mais la conformité ne protège pas des attaquants. Ce qui protège, c’est une stratégie de sécurité cohérente, intégrée à la gouvernance de l’établissement et soutenue par les compétences adéquates.
Construire une feuille de route adaptée au contexte
Chaque établissement de santé a ses spécificités : taille, niveau de maturité, parc applicatif, budget, bassin d’emploi. Plaquer un modèle unique serait aussi efficace qu’un traitement standard administré sans diagnostic préalable. La première étape, et souvent la plus négligée, consiste à cartographier ses actifs critiques, identifier ses vulnérabilités réelles et prioriser les actions selon l’impact métier.
C’est précisément ce travail de structuration que Rehackt, en tant que cabinet de recrutement cybersécurité, accompagne en amont du recrutement, notamment auprès d’entreprises qui gravitent dans l’écosystème de la santé : éditeurs de logiciels, hébergeurs de données de santé, plateformes de télémédecine, sociétés de services numériques intervenant en milieu hospitalier. Ces acteurs, souvent moins visibles que les hôpitaux dans le débat public, sont pourtant au cœur de la chaîne de valeur. Et leurs besoins en cybersécurité explosent, sous l’effet conjugué de la réglementation (certification HDS, NIS 2, PGSSI-S) et des exigences croissantes de leurs clients.
Avant de chercher un profil, il faut poser les bonnes questions : quel est le niveau de maturité actuel de l’organisation ? Quelles compétences sont déjà présentes en interne ? Quels postes sont réellement prioritaires au regard de la feuille de route de l’entreprise ? Un RSSI expérimenté, ou d’abord un analyste SOC ? Un architecte sécurité, ou un responsable conformité pour structurer la gouvernance ?
La réponse n’est jamais la même. Et c’est justement ce qui distingue un accompagnement sur mesure d’un recrutement générique.
Recruter les bons profils, au bon moment
Le déficit de compétences en cybersécurité est une réalité nationale. L’Observatoire des métiers de l’ANSSI recense plus de 23 000 offres d’emploi publiées entre juin 2023 et juin 2024, en hausse de 49 % par rapport à 2019. Environ 15 000 postes restent non pourvus. Mais ce chiffre masque une réalité plus subtile : le problème n’est pas seulement le manque de candidats. C’est souvent le décalage entre les besoins réels et les fiches de poste publiées.
Dans le secteur de la santé au sens large, ce décalage est encore plus marqué. Les établissements hospitaliers, dont les moyens restent structurellement limités, peinent à attirer les profils dont ils auraient besoin. En revanche, les entreprises de l’écosystème santé (éditeurs, hébergeurs, prestataires de services numériques) connaissent une montée en pression rapide : leurs clients exigent des garanties de sécurité, la réglementation se durcit, et elles doivent se structurer vite. C’est souvent là que le recrutement se joue concrètement. Comme nous l’expliquions dans notre article sur les secteurs en tension en cybersécurité, la santé figure parmi les domaines où le besoin de profils hybrides, à la croisée de l’expertise métier et de la sécurité numérique, est le plus criant.
Chez Rehackt, notre approche consiste à accompagner la maturation du besoin avant de lancer le recrutement. Cela passe par un travail de conseil en amont : comprendre la feuille de route de l’entreprise, identifier les priorités selon son calendrier réglementaire et opérationnel, définir un profil de poste réaliste et attractif. Un recrutement RSSI dans une entreprise qui débute sa mise en conformité HDS n’a rien à voir avec un recrutement RSSI dans un groupe déjà structuré et certifié. Les compétences techniques requises, les qualités managériales, la capacité à porter le sujet auprès de la direction générale, tout diffère.
Penser la cyberrésilience, pas seulement la protection
Le concept de cyberrésilience prend tout son sens dans le secteur de la santé. La question n’est plus de savoir si un établissement sera attaqué, mais comment il se relèvera quand cela arrivera. Cela suppose de dépasser la logique de protection périmétrique (pare-feu, antivirus, contrôle d’accès) pour intégrer des capacités de détection, de réponse et de reprise d’activité.
Le domaine 2 du programme CaRE, consacré à la stratégie de continuité et de reprise d’activité (PCA-PRA), va dans ce sens. Mais encore faut-il disposer des compétences internes pour concevoir, tester et maintenir ces plans. Un plan de continuité qui n’est jamais testé n’en est pas un : c’est un document PDF stocké sur un serveur que personne ne retrouvera le jour où il faudra l’utiliser.
La démarche de sécurité dès la conception (security by design) est également une priorité structurelle. Dans un écosystème où la télémédecine, les objets connectés de santé et les entrepôts de données se multiplient, intégrer la sécurité dès la phase de conception des projets numériques est infiniment plus efficace (et moins coûteux) que de colmater les brèches après coup. C’est un changement de paradigme culturel autant que technique.
Ce qui reste à faire, et ce qui manque cruellement
Si les progrès sont réels, les manques le sont tout autant.
L’ANSSI a publié en mars 2025 son plan stratégique 2025-2027, articulé autour de cinq missions : défendre, connaître, partager, accompagner, réguler. L’exercice national REMPAR25 de septembre 2025 a mobilisé 52 partenaires sur l’ensemble du territoire. Les centres régionaux de ressources cyber (CRRC), financés par le programme CaRE, commencent à structurer l’écosystème territorial.
Mais le rapport de la Cour des comptes identifie clairement ce qui manque : un financement pérenne au-delà de 2027, des audits obligatoires et périodiques, un fonds national de compensation pour les établissements victimes, et surtout, des ressources humaines qualifiées. La Cour recommande également de renforcer les critères de cybersécurité dans la certification HAS et de recruter des experts visiteurs numériques. L’instruction ministérielle de janvier 2025 impose désormais aux établissements sanitaires de mettre en œuvre des actions urgentes ou prioritaires en matière de sécurité des systèmes d’information.
Le constat est limpide : les cadres réglementaires existent, les financements commencent à se débloquer, mais le nerf de la guerre reste humain. Sans professionnels formés, expérimentés et correctement positionnés dans les organisations, les outils et les budgets resteront sous-exploités.
Le rôle d’un cabinet de recrutement spécialisé : bien plus qu’un intermédiaire
C’est là que la mission de Rehackt prend tout son sens. En tant que cabinet de recrutement cybersécurité, notre rôle ne se limite pas à présenter des candidats. Nous travaillons avec les entreprises de l’écosystème santé pour structurer leur démarche de recrutement en cybersécurité, en l’alignant sur leur réalité opérationnelle.
Concrètement, cela signifie accompagner une entreprise qui traite des données de santé et doit se structurer pour obtenir ou maintenir sa certification HDS tout en répondant aux futures exigences de NIS 2. Cela signifie aussi aider un éditeur de logiciels médicaux à prioriser entre un poste de RSSI et un poste d’analyste sécurité selon sa maturité et sa feuille de route produit. Cela signifie enfin sensibiliser les dirigeants à la réalité du marché de l’emploi cyber : les profils expérimentés sont rares, les attentes doivent être réalistes, et le poste doit être suffisamment attractif pour capter les bons candidats.
Les établissements de santé eux-mêmes, dont les budgets demeurent contraints malgré les financements CaRE, se tournent de plus en plus vers des prestataires extérieurs pour leurs besoins en cybersécurité. Ce mouvement de sous-traitance et de mutualisation renforce mécaniquement la pression sur les entreprises de services, qui doivent recruter pour répondre à la demande. L’effet de levier est considérable : en aidant ces acteurs à s’équiper en compétences, on contribue indirectement à la sécurisation de l’ensemble de la chaîne de soins.
Nous réalisons également des actions de sensibilisation à destination des TPE et PME du secteur, pour les aider à s’orienter vers les premières mesures d’hygiène numérique et à identifier leurs priorités de sécurité. Parce que tout ne se résout pas par un recrutement : parfois, la première étape est simplement de comprendre où l’on en est et ce qu’il est possible de faire avec les moyens disponibles.
Perspectives : un secteur en transformation profonde
Le secteur de la santé en France aborde une période charnière. La convergence du programme CaRE, de la transposition de NIS 2, de la certification HAS renforcée et de la multiplication des projets de santé numérique crée un appel d’air sans précédent pour les compétences en cybersécurité.
Les profils qui manqueront le plus dans les deux à trois prochaines années sont identifiables : des responsables de la sécurité des systèmes d’information capables de dialoguer avec les directions générales, des architectes sécurité connaissant les contraintes spécifiques du monde de la santé, des spécialistes de la continuité d’activité, des profils de gouvernance risque et conformité, des analystes capables de faire vivre un centre opérationnel de sécurité. Et ces profils ne seront pas uniquement recherchés par les hôpitaux : les éditeurs de dossiers patients informatisés, les hébergeurs certifiés HDS, les plateformes de télémédecine, les sociétés de téléradiologie, les gestionnaires de tiers payant seront en première ligne.
La santé numérique ne recrutera pas les mêmes profils que la banque ou l’industrie. Les entreprises de l’écosystème qui comprendront cette spécificité, et qui investiront dans un recrutement réfléchi plutôt que dans l’urgence, prendront une longueur d’avance considérable. Les autres continueront de chercher le mouton à cinq pattes pendant que leur exposition aux risques augmente.
En résumé : trois convictions pour avancer
La cybersécurité en santé n’est pas un problème technique à résoudre. C’est une transformation organisationnelle à mener, un investissement humain à consentir, et une culture à construire. Les établissements qui avanceront seront ceux qui auront compris trois choses.
La première : le cadre réglementaire ne suffit pas. NIS 2 et le programme CaRE fournissent un socle, mais la conformité sans stratégie n’est qu’une coquille vide. Il faut une feuille de route, des priorités claires et des compétences pour les mettre en œuvre.
La deuxième : le recrutement en cybersécurité n’est pas un acte isolé. C’est un maillon d’une chaîne qui commence par la compréhension du besoin et se termine par l’intégration opérationnelle du profil. Se faire accompagner par un cabinet de recrutement cybersécurité qui comprend les enjeux de l’écosystème santé, c’est gagner du temps, de la pertinence et de l’efficacité.
La troisième : la cyberrésilience est un investissement, pas une dépense. Le coût moyen de gestion d’une cyberattaque pour un hôpital atteint 10 millions d’euros, auxquels s’ajoutent jusqu’à 20 millions de pertes d’exploitation. À côté de ces montants, l’investissement dans la prévention, la détection et les compétences apparaît pour ce qu’il est : une évidence économique.
Le secteur de la santé a longtemps été le parent pauvre de la cybersécurité en France. Il est en train de devenir l’un de ses terrains les plus stratégiques. Reste à savoir si les moyens suivront les ambitions.
Vous êtes un acteur du numérique en santé, un éditeur, un hébergeur ou un prestataire intervenant dans l’écosystème de la santé et vous souhaitez structurer votre démarche de recrutement en cybersécurité ? Contactez Rehackt pour en discuter.
Sources principales :
- Cour des comptes, La sécurité informatique des établissements de santé, janvier 2025
- ANSSI, Secteur de la santé – État de la menace informatique (CERTFR-2024-CTI-010)
- ANSSI, Plan stratégique 2025-2027
- ANS / CERT Santé, Observatoire des incidents de sécurité des SI santé et médico-social, rapports 2023 et 2024
- Ministère de la Santé, communiqués sur le programme CaRE (décembre 2023, février 2025)
- ANSSI, Observatoire des métiers de la cybersécurité, 4e édition (2025)
- Directive NIS 2 (UE 2022/2555) et projet de loi de transposition française
Laisser un commentaire