Analyse de 5 cyberattaques réelles contre des hôpitaux. Leçons apprises, vecteurs d'attaque, et comment prévenir ces incidents dans le secteur santé.
Jordan Fredj
10 janvier 2026
13 min
Loading...
Jordan Fredj
Fondateur, Hacksessible
Les etablissements de sante sont devenus des cibles privilegiees des cyberattaquants. La combinaison de systèmes d'information souvent vieillissants, de donnees de sante extremement sensibles et valorisables, et de budgets IT historiquement limites en fait des proies ideales. Cet article analyse cinq cyberattaques reelles ayant touche des hopitaux en France et en Europe, en tire les lecons, et propose des stratégies de prevention adaptees au secteur de la sante. Les noms des etablissements les plus recents sont ceux ayant fait l'objet de communications publiques.
Plusieurs facteurs font des etablissements de sante des cibles particulierement attractives pour les cybercriminels. Les donnees de sante ont une valeur elevee sur le marche noir : un dossier medical complet se negocie entre 200 et 1000 euros, soit 10 a 40 fois plus qu'un numero de carte bancaire. La raison : un dossier medical contient des informations stables (contrairement a une carte bancaire qui peut etre annulee) et permet de multiples formes de fraude (usurpation d'identite, fraude a l'assurance, chantage).
La pression operationnelle est un autre facteur : un hopital ne peut pas "fermer" pendant la remédiation d'une attaque. Les vies des patients dependent du fonctionnement continu des systèmes. Cette urgence operationnelle rend les hopitaux plus susceptibles de payer une rancon pour retablir rapidement leurs services. Les systèmes d'information hospitaliers sont souvent un patchwork de technologies heterogenes, avec des équipements biomedicaux connectes fonctionnant sur des systèmes d'exploitation obsoletes et non patchables.
En novembre 2019, le CHU de Rouen a ete frappe par le rancongiciel Clop. L'attaque a chiffre une grande partie des systèmes informatiques de l'etablissement, paralysant les fonctions critiques pendant plusieurs jours. Les soignants ont du revenir au papier et au telephone pour la coordination des soins. Les prescriptions, les comptes-rendus d'examens, et les plannings operatoires etaient inaccessibles numeriquement.
L'attaque a commence par un email de phishing cible envoye a un membre du personnel. Le groupe cybercriminel TA505, a l'origine de l'attaque selon l'ANSSI, a déployé ses outils habituels (SDBBot, CobaltStrike, Mimikatz) pour se propager dans le réseau interne avant de declencher le rancongiciel Clop. Les attaquants ont pris le temps de se propager dans le réseau avant le chiffrement, maximisant l'impact. Le mouvement lateral a ete facilite par des identifiants partages et une segmentation réseau insuffisante.
L'impact a ete massif : fonctionnement degrade pendant plusieurs semaines, recours aux procedures manuelles, report de certaines interventions non urgentes. L'ANSSI a ete mobilisee pour accompagner la remédiation. Les lecons principales : la sensibilisation du personnel aux emails de phishing est cruciale mais ne suffit pas, la segmentation réseau est indispensable pour limiter la propagation, et des sauvegardes hors-ligne testees regulierement sont la dernière ligne de defense contre les rancongiciels.
En fevrier 2021, le centre hospitalier de Dax a ete victime d'une cyberattaque par rancongiciel qui a paralyse l'ensemble de son système d'information. L'attaque a touche le système de messagerie, les logiciels metier de l'hopital, et les équipements de telephonie. L'etablissement a ete contraint de fonctionner en mode completement degrade pendant plusieurs semaines.
Les attaquants ont reussi a s'introduire dans le système d'information de l'hopital et a obtenir des droits d'administrateur de domaine. A partir de cette position privilegiee, ils ont déployé le rancongiciel Ryuk qui s'est propage a plus de 150 serveurs (soit plus de 85% de l'infrastructure) simultanement a partir de 00h11 le 9 fevrier, maximisant l'impact. La reconstruction complete du système d'information a nécessité plus d'un an et demi.
En aout 2022, le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes a ete victime d'une attaque par le groupe LockBit 3.0. Outre le chiffrement des systèmes, les attaquants ont exfiltre des donnees sensibles - dossiers patients, informations du personnel, donnees financieres - et menace de les publier si une rancon de 10 millions de dollars n'etait pas payee.
L'attaque a combine le chiffrement des donnees et l'exfiltration, suivant le modele de "double extorsion" de plus en plus repandu. Les attaquants ont eu le temps d'exfiltrer des donnees avant de declencher le chiffrement, ce qui indique une presence dans le système de plusieurs jours voire semaines avant la détection. L'hopital a refuse de payer la rancon, conformement aux recommandations de l'ANSSI.
Les donnees exfiltrees ont ete partiellement publiees sur le dark web, causant un prejudice durable aux patients concernes. L'etablissement a du rediriger des patients vers d'autres hopitaux pendant la periode de crise. La lecon : le chiffrement seul n'est plus la seule menace. La détection d'exfiltration de donnees (DLP) est devenue critique. Un monitoring continu des flux réseaux inhabituels est nécessaire pour détectér les exfiltrations en cours.
En septembre 2020, l'hopital universitaire de Duesseldorf (Allemagne) a ete victime d'une cyberattaque qui a paralyse ses systèmes d'urgence. Une patiente qui devait etre admise en urgence a du etre redirigee vers un hopital situe a 30 kilometres. Elle est decedee pendant le transport. Bien que le lien direct entre la cyberattaque et le deces fasse debat, cet incident a marque un tournant dans la prise de conscience des consequences humaines des cyberattaques contre les hopitaux.
Les attaquants ont exploite une vulnérabilité connue dans un logiciel Citrix (CVE-2019-19781). Cette vulnérabilité avait ete publiee et un correctif etait disponible depuis des mois, mais n'avait pas ete applique par l'hopital. L'attaque n'etait apparemment pas ciblee contre l'hopital spécifiquement - le rancongiciel DoppelPaymer ciblait l'universite associee. Les attaquants ont fourni la cle de dechiffrement gratuitement apres avoir réalisé qu'ils avaient touche un hopital.
Cet incident illustre deux points critiques. Premierement, le non-patching de vulnérabilités connues est la cause la plus evitable de cyberattaques : la CVE exploitee avait un correctif disponible depuis des mois. Deuxiemement, les consequences des cyberattaques hospitaliers peuvent etre litteralement mortelles, ce qui justifie un investissement proportionnel en sécurité. Un programme de gestion des vulnérabilités avec des scans reguliers et un processus de remédiation priorise aurait prevenu cet incident.
Les attaques par la chaine d'approvisionnement ciblant le secteur de la sante sont documentees par le CERT-FR et l'ANSSI comme une menace croissante. Le scenario typique : les attaquants compromettent d'abord le système d'un fournisseur de logiciel de gestion hospitaliere, puis utilisent les connexions de maintenance legitimes pour penetrer dans le système d'information de l'hopital. Ce type d'attaque est particulierement vicieux car il exploite des canaux de confiance etablis. Plusieurs incidents de ce type ont ete rapportes en France entre 2022 et 2024.
Dans ce type de scenario, le fournisseur dispose typiquement d'un acces VPN permanent au système de l'hopital pour la maintenance et le support. Cet acces n'est souvent pas soumis a une authentification multifacteurs et utilise des identifiants partages. Une fois le fournisseur compromis, les attaquants heritent de cet acces privilegie. L'attaque n'est généralement détectée que lorsque des anomalies comportementales sont identifiées dans les logs d'acces.
Sur la base de ces cinq cas, plusieurs mesures de prevention se degagent. La gestion des vulnérabilités et le patching regulier previennent les attaques exploitant des failles connues (cas de Duesseldorf et Dax). La segmentation réseau limite la propagation en cas de compromission (lecon de Rouen). La détection et la réponse aux incidents (EDR, SIEM) permettent d'identifier les attaquants avant le deploiement du rancongiciel. Les sauvegardes hors-ligne testees sont la dernière ligne de defense. La gestion des acces tiers avec MFA et monitoring previent les attaques par la chaine d'approvisionnement.
Les etablissements de sante sont soumis a un cadre réglementaire renforce en matiere de cybersécurité. La directive NIS2 classe les etablissements de sante parmi les entites essentielles, avec des obligations strictes de gestion des risques et de notification des incidents. La certification HDS (Hebergement de Donnees de Sante) impose des exigences spécifiques pour l'hebergement des donnees de sante. Le RGPD prevoit des sanctions aggravees pour les violations impliquant des donnees de sante, considerees comme des donnees sensibles. Les recommandations de l'ANSSI pour le secteur de la sante fournissent un cadre operationnel de securisation.
L'ANSSI recommande fortement de ne pas payer. Le paiement ne garantit pas la recuperation des donnees, finance les activités criminelles, et fait de l'etablissement une cible recurrente. La meilleure protection est la prevention (tests de sécurité, patching, segmentation) et la preparation (sauvegardes testees, plan de continuite d'activite).
Les équipements biomedicaux posent un defi spécifique car ils fonctionnent souvent sur des systèmes d'exploitation obsoletes et ne peuvent pas etre patches. La stratégie recommandee est l'isolation réseau : placez ces équipements dans des segments réseau dedies avec des controles d'acces stricts. Surveillez les communications de ces segments pour détectér les comportements anormaux.
Les recommandations de l'ANSSI suggerent entre 5% et 10% du budget IT pour la cybersécurité. Pour un hopital de taille moyenne avec un budget IT de 5 millions d'euros, cela représente entre 250 000 et 500 000 euros par an. C'est un investissement significatif mais nettement inferieur au cout d'une attaque reussie (plusieurs millions d'euros en moyenne).
Jordan Fredj, Fondateur Hacksessible -
Le pentest automatisé par IA identifié vos vulnérabilités avant les attaquants. Découvrez nos solutions pour le secteur de la sante.