Quentin Le Thiec (Cert Santé) : « Les médecins doivent se former à la cybersécurité et s’y intéresser »

LE QUOTIDIEN : Le rapport 2024 de l’Observatoire des incidents de sécurité des systèmes d’information en santé montre une hausse des signalements mais une baisse des incidents majeurs affectant les soins. Cette tendance se confirme-t-elle en 2025 ?

Quentin Le Thiec : Nous restons en effet sur cette tendance. En 2025, nous constatons autour de 7 à 800 incidents, avec un ratio de 50/50 entre les incidents malveillants/non malveillants. En 2025, moins d’établissements hospitaliers ont été victimes de rançongiciels, même s’il y en a toujours, sauf dans le secteur médico-social. Dans ce cas, les impacts sanitaires sont moindres pour ces petites structures.

Parallèlement il y a eu une recrudescence des fuites de données qui n’ont pas touché forcément les établissements, mais qui s’étendent à des opérateurs et prestataires publics et privés et qui ont fait l’objet de forte médiatisation dans la presse.

Après les cyberattaques fin 2025 contre Weda et MedecinDirect, ce sont cette fois 150 000 fiches patients issues d’un hôpital privé et d'un cabinet d'ophtalmologie qui ont fuité début 2026 et circulent sur le dark web. Le Cert Santé a-t-il été mobilisé ?

Pour Weda et MedecinDirect, nous n’avons pas participé à la remédiation technique.

L’hôpital privé de la Miotte, à Belfort, dépendant du groupe Vivalto, fait partie en revanche de nos bénéficiaires. En juin 2025, les cybercriminels avaient déjà annoncé l’attaque à des influenceurs cyber. L’établissement a précisé que seules les prises de rendez-vous avaient été concernées, pas les données médicales. Ces fuites restent problématiques, mais comme elles n’affectent pas le soin, le Cert ne les place pas en priorité. Car parallèlement, nous continuons à enregistrer régulièrement des incidents qui concernent directement les soins. Pour Miotte, nous avons donc simplement vérifié que l’établissement avait correctement sécurisé ses systèmes, ce qui est possible grâce à une équipe informatique dédiée.

Pour la cyberattaque en octobre dernier du CH de Pontarlier [dont le système informatique avait été mis à l’arrêt, NDLR], nous n’étions pas sur place, mais avons coordonné la riposte avec l’établissement support de GHT (CHU Besancon), et les collectivités locales – mairie et département. L’Anssi [Agence nationale de la sécurité des systèmes d'information, NDLR] était présente, car la situation était critique avec de nombreuses applications indisponibles, menaçant la capacité à soigner. Sa présence permet de récolter au plus vite les éléments techniques et ensuite de créer rapidement une « bulle de confiance » sur quelques postes (nouveaux et prêtés par des acteurs publics externes dans ce cas) pour que les soignants puissent continuer leur travail, tandis que nous les assistons sur le plan technique.

D’où proviennent principalement ces cyberattaques à répétition ?

Les attaquants affiliés aux ransomwares viennent de partout, et certaines cyberattaques de vol de données semblent menées par des acteurs français, fins connaisseurs de notre système de santé. Les enquêtes sont en cours, notamment pour l’attaque de l’hôpital de Pontarlier (et les différentes fuites de données), et nous coopérons avec la police judiciaire. L’Anssi, bénéficiant d’un effectif beaucoup plus important que celui du Cert, dispose d’équipes dédiées à chaque activité de réponse aux incidents : pilotage, remédiation, investigation, qualification et communication.

Beaucoup d’attaques proviennent aussi des pays de l’Est ! Les attaquants apprécient particulièrement la fin de semaine, au point que c’est devenu un running gag en interne. Pour nous, équipes de réponse aux incidents, le vendredi soir est toujours compliqué : il faut agir très vite, avant le week-end. Les alertes peuvent venir de l’établissement lui-même, de partenaires comme le réseau national de télécommunication Renater ou de la police.

Les médecins libéraux et petits cabinets sont-ils des cibles spécifiques ou les attaques visent-elles les grands établissements ?

Sur la partie rançongiciels des établissements de santé, c’est la grande pêche au chalut. Si vous êtes exposés sur Internet et que vous êtes d’un niveau de sécurité suffisamment faible, vous allez prendre des risques, par exemple pour un outil de prise en main à distance sur votre SSI qui n’est pas à jour. Quand on perd à cette loterie de la cyberattaque, c’est souvent qu’on a déjà une belle erreur en termes de gestion de l’exposition sur Internet, ou qu’un poste personnel ou professionnel d’un employé ayant des privilèges dans le système informatique a été compromis. 

Pour les plateformes, Weda, MedecinDirect, ou les ENRS [Espaces numériques régionaux de santé, NDLR] en région Hauts-de-France, les attaquants ont utilisé plusieurs techniques, souvent assez peu sophistiquées techniquement. Ils ont plutôt utilisé des comptes de professionnels volés (via infostealer, phishing ou ingénierie sociale de vol e-CPS) ou exploité des faiblesses de process dans la façon dont les praticiens s’enregistrent auprès des plateformes.

Quels sont les gestes quotidiens les plus négligés par les équipes médicales et qui les exposent aux attaques ?

L’ouverture de mails n’est pas problématique en soi si les utilisateurs le font correctement sur leur PC mis à disposition par l’établissement. Ce que nous observons, ce sont des mésusages dans la distinction pro/perso, avec la récupération des identifiants professionnels via Chrome sur les ordinateurs familiaux par exemple. La plupart des attaques arrivent par cette voie. C’est très embêtant quand il s’agit d’un médecin voire pire venant d’un directeur d’hôpital qui a des accès privilégiés, comme les administrateurs système.

Pour limiter les risques, il faut installer les deuxièmes mots de passe (MFA, double authentification) ou les mots de passe à six caractères envoyés par SMS. Mais les personnes refusent en général de mettre cette deuxième authentification, ce qui nous coûte très cher. Beaucoup de comptes de médecins sont donc à l’origine des cyberattaques. Il faut absolument un gestionnaire de mots de passe local qui génère des mots de passe automatiques (KeePass) et qui est souvent mis à disposition par les DSI.

Certaines spécialités sont-elles plus ciblées par les attaques ?

Il n’y a pas vraiment de spécialités plus ciblées que d’autres, le problème est global. Dans les structures plus petites – cliniques, établissements médico-sociaux, cabinets libéraux – la sécurité dépend beaucoup du prestataire informatique : certains ont un très bon niveau, d’autres exposent encore des systèmes critiques sur Internet avec des droits administrateur. Plus l’établissement est petit, moins il a de budget, et plus le risque augmente. Dans certains cabinets, notamment en radiologie, selon mon expérience personnelle, ce sont les praticiens eux-mêmes qui gèrent l’informatique, avec de bonnes intentions mais sans toujours l’expertise nécessaire, ce qui peut créer de vrais risques !

On observe aussi des pratiques dangereuses et non réglementaires, comme l’envoi de comptes rendus via WhatsApp ou le partage d’images médicales non anonymisées sur des messageries grand public, alors que des solutions sécurisées comme la MSS existent [messagerie sécurisée de santé, NDLR]. En pratique, tout établissement de santé peut nous solliciter : notre force repose aussi sur ce réseau d’entraide, souvent plus efficace que des approches purement privées.

Le programme Care a-t-il déjà permis d’améliorer la cybersécurité des établissements de santé ?

Le programme Care a permis de renforcer la sécurité en réduisant l’exposition des systèmes sur Internet et en consolidant l’annuaire technique [Active Directory, service d'annuaire développé par Microsoft qui stocke des informations d’identification, NDLR]. Il a permis de sensibiliser les établissements et de corriger des pratiques risquées, même si le maintien dans le temps reste un défi.

Les prochains volets porteront sur les sauvegardes (D2) et la détection (D3). Sur le budget, la part consacrée à la cybersécurité reste faible – souvent moins de 2 % (sur l’ensemble des technologies de l’information), contre 7‑9 % dans d’autres secteurs comme la banque. Care et les actions ministérielles encouragent l’augmentation de ce budget mais la décision finale dépend des directions d’établissement et des disparités régionales et même locales qui restent importantes.

Les responsables sécurité des systèmes d'information (RSSI) sont-ils davantage écoutés dans les établissements ?

Cela dépend ! Dans certains établissements, le RSSI est écouté par défaut, en cas de problème ; dans d’autres, il est régulièrement challengé par les médecins, la DSI ou la direction. Globalement, ils sont davantage entendus lorsque la cyberattaque touche un établissement voisin, ou le leur. Là, la prise de conscience est immédiate : les budgets sont débloqués et les projets avancent. Comme souvent, un incident – ou un presque incident – éveille les consciences.

Quel rôle les médecins peuvent-ils jouer dans la prévention des cyberattaques ?

Les médecins doivent se former à la cybersécurité et s’y intéresser mais c’est loin d’être toujours le cas. Quand on va dans les établissements et qu’on discute avec eux, leur priorité, c’est de soigner. Et c’est compréhensible. Mais il y a une hygiène de sécurité à respecter. Quand le gars de la DSI vous dit : « Ce n’est pas possible d’avoir un mot de passe à quatre chiffres pour des raisons de sécurité », il ne faut pas le by-passer en allant voir le directeur pour obtenir des accès en mettant la pression et en menaçant de ne plus bosser. On l’a déjà vu. Et ce n’est pas forcément générationnel : les jeunes sont souvent à l’aise avec les outils, mais moins attentifs à la sécurité, pensant que « tout est déjà sur Internet » sans mesurer l’impact d’un système bloqué. C’est pourquoi il est essentiel de les informer.

Et à l’avenir, face à des attaques toujours plus sophistiquées, les mots de passe seuls ne suffiront plus : un deuxième facteur d’authentification sera indispensable.

Existe-t-il des formations pour aider les médecins ? Ces enjeux sont-ils abordés dès la formation initiale ?

Oui, plusieurs dispositifs existent déjà. Des cours sont proposés dans certaines facultés, et surtout des formations en ligne. L’Anssi propose un Mooc très complet, avec des modules progressifs, du plus simple au plus technique. Il est assez long – une dizaine d’heures – mais les compétences acquises sont durables. Il existe aussi des formats plus accessibles, comme les modules Se former à la e-santé ou encore sur e-santé.gouv.fr, qui intègrent une dimension cybersécurité et sont désormais inclus dans les cycles de formation des professionnels de santé. Ces contenus ont déjà été largement suivis. Enfin, certaines régions proposent des initiatives plus ludiques, comme en Bourgogne-Franche-Comté avec la plateforme Briss.fr, qui diffuse des microséries tournées en milieu hospitalier pour sensibiliser aux risques cyber.