Fonctionnalités Tarifs Blog Certification HAS Glossaire Contact

Cybersécurité en établissement de santé : obligations et bonnes pratiques pour les petites structures

"On est trop petit pour intéresser des pirates informatiques." C'est l'idée reçue la plus répandue chez les dirigeants de cabinets médicaux, d'EHPAD ou de petites cliniques, et c'est aussi la plus dangereuse. Le secteur de la santé est devenu, en 2025, le troisième secteur le plus visé par les cyberattaques en France selon l'Agence nationale de la sécurité des systèmes d'information (ANSSI), et l'obligation de signaler un incident grave de sécurité informatique s'applique déjà à toute structure de santé ou médico-sociale, sans seuil de taille. Ce guide fait le point sur les chiffres réels, le cadre légal, ce que change la directive européenne NIS2, le nouveau critère de certification HAS et les aides existantes, sources à l'appui. Précision d'emblée : il s'agit ici de faire le point sur vos obligations et sur les bonnes pratiques de gouvernance, pas de vendre une solution technique de cybersécurité. Pour l'aspect technique, rapprochez-vous d'un prestataire spécialisé ou du CERT Santé ; OxcaSanté, de son côté, vous aide à formaliser et à tracer les procédures que ces obligations exigent.

En bref

  • La santé est le 3e secteur le plus ciblé par les cyberattaques en France en 2025, selon le Panorama de la cybermenace de l'ANSSI publié en mars 2026.
  • 764 incidents de sécurité informatique ont été déclarés par des établissements de santé et médico-sociaux en 2025, touchant 606 structures différentes, selon l'Observatoire du CERT Santé.
  • L'obligation de signaler un incident grave de sécurité informatique s'applique aux établissements de santé et médico-sociaux sans seuil de taille dans les textes.
  • La certification HAS version 2025, en vigueur depuis le 1er septembre 2025, intègre désormais des critères dédiés à la maîtrise des risques de sécurité numérique.
  • Le programme national CaRE mobilise jusqu'à 750 millions d'euros d'ici 2027 pour accompagner les établissements dans leur mise en conformité cyber.

Les chiffres 2025 : la santé, cible confirmée

Dans son Panorama de la cybermenace 2025, publié le 11 mars 2026, l'ANSSI indique avoir traité 3 586 événements de sécurité au cours de l'année, un chiffre en baisse de 18% par rapport à 2024 (une année marquée par le pic d'incidents lié aux Jeux olympiques de Paris). Sur ce total, le secteur de la santé représente 10% des événements traités, ce qui le place au 3e rang des secteurs les plus visés, derrière l'éducation et la recherche (34%) et les ministères et collectivités territoriales (24%), mais devant les télécommunications (9%).

Ce constat national est confirmé, à l'échelle du secteur, par l'Observatoire 2025 des incidents de sécurité des systèmes d'information en santé et médico-social, publié par l'Agence du Numérique en Santé (ANS) et son CERT Santé. Sur l'année, 764 incidents ont été déclarés au CERT Santé, un volume quasi stable par rapport à 2024, mais qui concerne 606 structures différentes, preuve que la menace touche un nombre croissant d'acteurs plutôt qu'un noyau restreint de grands établissements. Le visage de la menace évolue toutefois : les incidents liés aux rançongiciels reculent de 30% par rapport à 2024, tandis que les comptes compromis, les accès illégitimes et les fuites de données occupent une place croissante dans la vigilance recommandée par l'Observatoire, signe d'une bascule vers une menace moins spectaculaire mais plus constante. Signe encourageant, seuls 2 incidents ont été qualifiés de majeurs en 2025, contre 3 en 2024. Signe plus préoccupant en revanche, 288 signalements, soit 38% du total, ont contraint la structure concernée à basculer en mode dégradé ou à interrompre une prise en charge, une proportion en hausse de 24% par rapport à l'année précédente.

Aucune de ces deux sources officielles ne publie de statistique isolant spécifiquement les structures de moins de 50 salariés. Il serait donc inexact d'affirmer que les petites structures sont "davantage" ou "moins" ciblées que les grandes : ce que montrent les chiffres, c'est que la menace est désormais diffuse sur l'ensemble du secteur, et que 606 structures touchées sur une seule année suffisent à rappeler qu'aucune taille n'est, dans les faits, à l'abri.

Le cadre légal : une obligation de signalement sans seuil de taille

C'est le point que la plupart des petites structures ignorent : l'obligation de signaler un incident grave ou significatif de sécurité des systèmes d'information ne dépend, dans les textes, d'aucun effectif ni chiffre d'affaires. L'article L.1111-8-2 du code de la santé publique et ses articles d'application (D.1111-16-2 à D.1111-16-4) visent les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale, les centres de radiothérapie, et, depuis le décret n°2022-715 du 27 avril 2022, les établissements médico-sociaux. Un incident est considéré comme grave ou significatif dès lors qu'il crée une situation exceptionnelle, notamment lorsqu'il a des conséquences potentielles ou avérées sur la sécurité des soins, sur la confidentialité ou l'intégrité des données de santé, sur le fonctionnement normal de la structure, ou lorsqu'il est susceptible d'affecter d'autres structures, par exemple via un prestataire ou un logiciel partagé.

Concrètement, tout établissement, quelle que soit sa taille, doit déclarer sans délai un tel incident sur le portail de signalement des événements sanitaires indésirables, en sélectionnant le motif "incident de sécurité des systèmes d'information". Le CERT Santé, la cellule d'appui de l'ANS dédiée aux incidents cyber du secteur, accompagne ensuite la structure dans la gestion de l'incident : il est joignable en semaine de 9h à 18h, et 24 heures sur 24 pour les urgences.

Texte Objet Portée
Décret n°2016-1214 du 12/09/2016Crée l'obligation de signalement des incidents graves de SSIÉtablissements de santé
Arrêté du 30/10/2017Précise les modalités de signalement et de traitementÉtablissements de santé
Ordonnance n°2020-1407 du 18/11/2020Réorganise les missions des ARS et du groupement d'intérêt public compétentÉtablissements de santé
Décret n°2022-715 du 27/04/2022Étend l'obligation de signalementÉtablissements médico-sociaux
Instruction publiée au BO du 31/05/2023Précise les modalités d'application pour le médico-socialÉtablissements médico-sociaux

Ce que va changer la directive européenne NIS2

La directive européenne NIS2 (Network and Information Security 2), qui vise à renforcer la cybersécurité d'un large éventail de secteurs jugés critiques, dont la santé, doit être transposée en droit français. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, déposé le 15 octobre 2024, a été adopté par le Sénat en mars 2025 ; son examen par l'Assemblée nationale était encore attendu à l'été 2026 au moment de la rédaction de cet article, et le calendrier reste donc susceptible d'évoluer. La directive prévoit deux catégories d'entités selon leur taille : les "entités essentielles" (grandes entreprises, à partir de 250 salariés ou plus de 50 millions d'euros de chiffre d'affaires) et les "entités importantes" (entreprises de taille moyenne, à partir de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires).

Pour un cabinet, une maison de santé ou une petite structure de moins de 50 salariés, la conséquence probable est de rester en dehors du champ direct de ces deux catégories, une fois la loi définitivement transposée. Ce point mérite cependant d'être nuancé sur deux aspects. D'une part, les seuils exacts et leur application concrète au secteur de la santé seront précisés par décret, une fois la loi promulguée : mieux vaut donc suivre l'actualité réglementaire que se fier à une exemption anticipée. D'autre part, et c'est le point le plus important, NIS2 n'a jamais eu vocation à remplacer les obligations déjà décrites plus haut : l'obligation de signalement des incidents graves auprès du CERT Santé, elle, s'applique dès aujourd'hui, indépendamment de la taille de la structure et du sort réservé à NIS2.

Certification HAS : la cybersécurité devient un critère à part entière

Pour les établissements de santé engagés dans une démarche de certification, le référentiel de certification HAS version 2025, en vigueur depuis le 1er septembre 2025, renforce nettement les exigences numériques. Plusieurs critères y sont désormais consacrés : le critère 3.1-07 attend un plan de formation pluriannuel à la sécurité et à l'hygiène informatique, avec des actions de sensibilisation permettant à chaque professionnel de connaître la conduite à tenir en cas d'incident ou de cyberattaque ; le critère 3.1-09 porte sur la sécurisation des données de santé, notamment via le Dossier Médical Partagé et la messagerie sécurisée de Mon Espace Santé ; le critère 3.6-02 du référentiel de certification HAS pour les établissements de santé, enfin, évalue la maîtrise des risques de sécurité numérique à travers des audits, des exercices de crise cyber et la formation des équipes à la détection des attaques.

Ce référentiel s'applique aux établissements de santé engagés dans la certification HAS. Les ESSMS suivent, pour leur part, un référentiel d'évaluation distinct, sans critère cyber aussi formalisé à ce jour ; mais les principes qu'il porte (plan de formation, procédure en cas d'incident, exercice de continuité) restent des bonnes pratiques transposables à toute structure médico-sociale, certifiée ou non.

Le programme CaRE : un accompagnement financé, mais pas pour tout le monde

Lancé en décembre 2023 par le ministère de la Santé, le programme CaRE (Cyber accélération et Résilience des Établissements) doit mobiliser jusqu'à 750 millions d'euros d'ici 2027, après une première enveloppe de 250 millions d'euros sur 2023-2025, pour aider les établissements de santé et médico-sociaux à identifier les offres d'accompagnement cyber auxquelles ils sont éligibles et à financer leur mise en conformité. Les premiers résultats mesurés par l'ANS sont significatifs : sur plus de 1 000 établissements audités, la part de ceux présentant une vulnérabilité majeure sur leur annuaire technique (Active Directory) a reculé de 20 points entre mai 2024 et février 2025, et la part de ceux exposant des vulnérabilités critiques sur internet a chuté de 35 points entre août 2024 et janvier 2025.

Le programme cible en priorité les établissements de santé et médico-sociaux au sens du code de la santé publique. Les cabinets libéraux et maisons de santé pluriprofessionnelles, qui n'ont pas toujours ce statut juridique, ne rentrent pas nécessairement dans son périmètre strict. Le réflexe à avoir pour une petite structure est de se rapprocher de son agence régionale de santé (ARS) ou du groupement régional d'appui au développement de la e-santé (GRADeS) de sa région, qui pourront indiquer l'éligibilité réelle et les dispositifs de proximité disponibles, plutôt que de présumer une exclusion ou une inclusion automatique.

Bonnes pratiques accessibles sans service informatique dédié

Se protéger efficacement ne suppose pas nécessairement une direction des systèmes d'information en interne. Les mesures les plus efficaces, rappelées par l'ANSSI et le CERT Santé, relèvent avant tout d'une organisation et d'une discipline collective plutôt que d'un investissement technique lourd :

  • Activer une double authentification sur les accès sensibles (messagerie, logiciel métier, accès à distance), la mesure la plus souvent citée par l'ANSSI comme premier rempart contre les compromissions de comptes.
  • Tester régulièrement ses sauvegardes, et s'assurer qu'au moins une copie est déconnectée du réseau principal, pour rester exploitable même en cas de chiffrement par rançongiciel.
  • Former et sensibiliser toute l'équipe, pas seulement l'encadrement, à reconnaître un message ou une pièce jointe suspecte et à savoir qui alerter en interne.
  • Formaliser une procédure de continuité décrivant le fonctionnement en mode dégradé (accès aux informations essentielles sans le système habituel) : c'est exactement ce qu'évalue le critère 3.6-02 de la certification HAS.
  • Vérifier les garanties de sécurité des prestataires (logiciel métier, hébergeur, mainteneur informatique) avant de leur confier des données ou des accès, plutôt qu'après un incident.
  • Désigner un référent, même à temps très partiel, chargé de centraliser les alertes et de savoir qui contacter (CERT Santé, ARS, prestataire informatique) le jour où un incident survient.

Volontairement, cet article ne détaille pas de recommandation technique avancée (paramétrage réseau, durcissement système) : ce niveau de conseil doit être adapté à chaque structure par un professionnel de la sécurité informatique, et sa publication en ligne présenterait plus de risques que d'utilité.

Questions fréquentes

Mon petit cabinet ou ma petite structure sont-ils vraiment concernés par les obligations de cybersécurité ?

Oui pour l'essentiel des obligations déjà en vigueur. L'obligation de signaler un incident grave ou significatif de sécurité informatique, prévue par le code de la santé publique, s'applique aux établissements de santé et aux établissements médico-sociaux sans aucun seuil de taille mentionné dans les textes. La future directive NIS2, elle, prévoit des seuils (autour de 50 salariés) qui pourraient dispenser les plus petites structures du statut d'entité importante, mais cela ne supprime pas les obligations de signalement déjà applicables aujourd'hui.

Que faire concrètement en cas de cyberattaque ou d'incident informatique dans mon établissement ?

Contactez le CERT Santé, joignable en semaine de 9h à 18h et 24h/24 en urgence pour les incidents graves, et déclarez l'incident sur le portail signalement.social-sante.gouv.fr dès lors qu'il affecte la sécurité des soins, la confidentialité des données ou le fonctionnement normal de la structure. En parallèle, activez votre procédure de continuité d'activité si vous en avez formalisé une, et documentez chronologiquement les faits pour faciliter l'analyse et une éventuelle déclaration à la CNIL en cas de données personnelles concernées.

Le programme CaRE et les autres aides à la cybersécurité sont-ils accessibles aux petites structures ?

Le programme CaRE du ministère de la Santé s'adresse en priorité aux établissements de santé et médico-sociaux au sens du code de la santé publique. Les cabinets libéraux et maisons de santé pluriprofessionnelles n'entrent pas nécessairement dans son périmètre strict : le plus fiable est de se rapprocher de son ARS ou du groupement régional d'appui au numérique en santé (GRADeS) pour connaître son éligibilité et les dispositifs de proximité disponibles.

La cybersécurité concerne-t-elle aussi les EHPAD et les cabinets médicaux, ou seulement les hôpitaux ?

Elle concerne tout le secteur. L'Observatoire du CERT Santé comptabilise les incidents déclarés par l'ensemble des établissements de santé et médico-sociaux, EHPAD compris, et l'obligation de signalement s'applique aux établissements médico-sociaux depuis le décret n°2022-715 du 27 avril 2022, au même titre que les établissements de santé. Pour un cabinet médical ou dentaire, qui n'a pas ce statut juridique d'établissement, l'obligation réglementaire de signalement au CERT Santé ne s'applique pas au sens strict, mais les mêmes risques (rançongiciel, compte compromis, fuite de données patients) existent et les mêmes bonnes pratiques de gouvernance restent recommandées.

Comment un outil qualité peut vous accompagner

Un plan de formation à la sécurité informatique, une procédure de continuité d'activité ou un circuit de signalement des incidents n'ont de valeur que s'ils sont réellement formalisés, connus des équipes et tenus à jour, plutôt que rédigés une fois puis oubliés dans un classeur. C'est précisément ce que couvrent les critères 3.1-07 et 3.6-02 de la certification HAS évoqués plus haut. OxcaSanté, sans être un outil de cybersécurité, permet de centraliser ces procédures dans sa gestion documentaire, de déclarer un incident informatique comme un événement indésirable au même titre qu'un autre événement à analyser, et de conserver la traçabilité de chaque action de vos équipes grâce à son historique intégré. Précision importante : OxcaSanté n'héberge pas de dossiers patients ni de données de santé identifiantes. Ce n'est ni un service de sécurité informatique, ni un hébergeur de données de santé (HDS) au sens réglementaire, mais un outil de pilotage de votre démarche qualité qui vous aide à formaliser et à tracer ce que les référentiels attendent de vous.

Pour préparer plus largement votre prochaine visite de certification, retrouvez notre guide sur comment préparer la certification HAS étape par étape, ainsi que notre dossier sur la RGPD et les données de santé, un sujet étroitement lié à la sécurité de vos systèmes d'information.

Sources

Note méthodologique : le calendrier de transposition de la directive NIS2 en droit français, mentionné plus haut, était encore en cours d'examen parlementaire au moment de la rédaction de cet article (juillet 2026) ; les seuils et dates définitifs devront être vérifiés dans les décrets d'application une fois la loi promulguée.

Formalisez vos procédures sans y consacrer une équipe entière

OxcaSanté ne remplace pas un prestataire de cybersécurité : la plateforme centralise votre documentation qualité et la déclaration de vos événements indésirables, pensée pour les cabinets, MSP, EHPAD et petites structures sans service dédié. Dès 39€/an/licence.

Réserver une démo