Les hôpitaux sont devenus les cibles privilégiées des ransomwares : plus de 2 200 tentatives d'attaque par semaine dans certains pays européens, deux tiers des organisations de santé frappées au cours d'une année dans certaines études, des millions de dollars de coûts de récupération, des actes médicaux annulés par milliers. La guerre numérique se joue désormais aussi dans les salles d'opération et les systèmes de prescription.

Pourquoi la santé est la cible idéale

Les rapports récents montrent que le secteur de la santé est parmi les plus attaqués : en Belgique, il enregistre en moyenne 2 254 tentatives d'attaques cyber par semaine, soit une hausse de 47 % en un an. Au niveau global, des études indiquent que jusqu'à 67 % des organisations de santé ont subi une attaque de ransomware en douze mois, un taux en hausse par rapport aux années précédentes.

Plusieurs facteurs convergent pour expliquer cette vulnérabilité : infrastructures informatiques obsolètes, fragmentées et mal corrigées, forte dépendance à la continuité des systèmes comme les dossiers patients, l'imagerie ou les prescriptions, et valeur élevée des données de santé pour le chantage, le marché noir ou la fraude. Pour les groupes de ransomwares, les hôpitaux sont des cibles où la pression pour payer est maximale : l'arrêt d'un système d'information hospitalier peut directement mettre des vies en danger, ce qui augmente la probabilité de paiement.

Le ransomware comme modèle économique criminel

Le ransomware est devenu le cœur de l'écosystème criminel, avec des modèles proposés comme un service, des groupes qui louent des kits d'attaque, des plateformes de revente d'accès. Certains anciens groupes comme ALPHV se sont effondrés, de nouveaux comme RansomHub ont pris le relais, représentant jusqu'à 16 % des victimes répertoriées fin 2024.

Les hôpitaux subissent des attaques qui chiffrent leurs données, perturbent les systèmes, et couplent souvent le chiffrement à une exfiltration massive : fuite de centaines de gigaoctets de données, menaces de publication de dossiers médicaux, divulgation de résultats sensibles.

Des cas concrets illustrent l'ampleur de l'impact. Aux États-Unis, l'attaque contre Change Healthcare a coûté 872 millions de dollars et perturbé pendant des mois la chaîne de remboursement et de facturation médicale. En Roumanie, vingt-cinq hôpitaux ont été paralysés par le rançongiciel Phobos, affectant plus de cent établissements. Au Royaume-Uni, l'attaque contre Synnovis a entraîné l'annulation de six mille actes médicaux et une pénurie de sang. Le coût de récupération moyen dans le secteur de la santé dépasse 2,5 millions de dollars en 2024, en hausse par rapport aux années précédentes.

L'arrêt d'un système d'information hospitalier peut directement mettre des vies en danger, ce qui en fait une cible où la pression pour payer est maximale. Nasser AL SABRI, Analyses Géopolitiques

Identifiants, sauvegardes et assurance : une fragilité structurelle

Les études montrent que les causes principales des attaques sont la compromission d'identifiants et l'exploitation de vulnérabilités, à parts quasiment égales. Les sauvegardes sont systématiquement visées : 95 % des organisations de santé touchées déclarent que les cybercriminels ont tenté de compromettre leurs sauvegardes.

Les hôpitaux dont les sauvegardes ont été altérées sont deux fois plus enclins à payer la rançon pour récupérer leurs données, soit 63 % contre 27 % lorsque les sauvegardes restent intactes. Les assurances jouent un rôle ambivalent : elles couvrent une partie des coûts, mais sont parfois directement impliquées dans le paiement des rançons, dans une proportion pouvant atteindre 77 % des cas. Cette dynamique crée une forme de marché où la vulnérabilité structurelle des systèmes de santé alimente la rentabilité du ransomware. Le temps de récupération s'allonge : près de 37 % des organisations mettent plus d'un mois à se rétablir, contre 28 % l'année précédente.

La santé comme infrastructure critique

La répétition des attaques contre les hôpitaux interroge la manière dont les États classent et protègent leurs infrastructures critiques. Si les systèmes électriques et financiers sont largement intégrés dans des stratégies nationales de cyberdéfense, les hôpitaux ont longtemps été perçus comme des entités locales ou sectorielles, avec des budgets informatiques limités.

La montée en puissance des attaques oblige à repenser plusieurs leviers : la centralisation d'une partie des défenses à travers des centres de sécurité sectoriels, la mutualisation des ressources comme des sauvegardes robustes et des solutions partagées, ainsi que la formation des personnels pour réduire les vecteurs classiques que sont le phishing et les identifiants faibles. Au-delà de la technique, une question politique demeure : accepter ou non que les hôpitaux paient des rançons, comment encadrer le rôle des assurances, comment articuler la politique pénale et la régulation. La santé devient une ligne de front invisible de la sécurité nationale, où les décisions de cybersécurité ont des conséquences directes sur la vie des patients.

Foire aux questions

Pourquoi les hôpitaux sont-ils particulièrement ciblés par les ransomwares ?
Les hôpitaux combinent des infrastructures informatiques souvent obsolètes, une forte dépendance à la continuité de leurs systèmes pour les soins, et des données de santé à forte valeur pour le chantage, ce qui maximise la pression pour payer une rançon.
Quel est le coût moyen d'une cyberattaque pour un établissement de santé ?
Selon les données disponibles, le coût de récupération moyen dans le secteur de la santé dépasse 2,5 millions de dollars en 2024, en hausse par rapport aux années précédentes, sans compter les conséquences sur la continuité des soins.
Les sauvegardes protègent-elles efficacement les hôpitaux contre les ransomwares ?
Les sauvegardes sont systématiquement ciblées par les cybercriminels, et les hôpitaux dont les sauvegardes ont été compromises sont deux fois plus susceptibles de payer une rançon pour récupérer leurs données, ce qui souligne leur rôle critique mais vulnérable.
Tags : Cyberattaques Ransomware Hôpitaux Cybersécurité Infrastructures critiques