Cybersécurité des établissements de santé : un risque cyber accru par les prestataires

Un risque qui s’étend bien au delà du système d’information interne des établissements de santé

Les établissements de santé ont longtemps concentré leurs efforts de cybersécurité sur leur propre périmètre : sécurisation du SIH, durcissement du DPI, protection des réseaux, supervision des dispositifs biomédicaux connectés. Cette approche reste indispensable, mais elle ne reflète plus la réalité opérationnelle du secteur.

Aujourd’hui, les hôpitaux, cliniques et laboratoires évoluent dans un écosystème numérique fragmenté, où une part significative des fonctions critiques repose sur des prestataires externes.

Les données du CERT Santé illustrent clairement cette tendance : 764 incidents cyber ont été déclarés en 2025, soit une progression proche de 30 % en un an*

Plus de 40 % des établissements concernés ont dû recourir à un fonctionnement en mode dégradé, et plus de la moitié des incidents ne résultaient pas d’actes malveillants, mais de pannes, d’erreurs, d’indisponibilités ou de défaillances de prestataires.

 Dans un secteur où la continuité des soins est vitale, cette exposition indirecte est l’un des principaux facteurs de vulnérabilité. L’établissement peut être parfaitement sécurisé mais néanmoins paralysé par un incident survenu chez un tiers.

*AGENCE DU NUMÉRIQUE EN SANTÉ. Plus de 700 directeurs hospitaliers mobilisés pour mesurer la perception du risque cyber [en ligne]. 

Les sinistres cyber récents qui illustrent parfaitement cette réalité

Au‑delà du risque théorique lié aux partenaires, plusieurs incidents récents démontrent les effets très concrets des défaillances de prestataires IT sur les établissements de santé.

Nous pouvons bien sûr citer le cas récent Cegedim : d’une part, des indisponibilités de services de facturation et de télétransmission, qui ont entraîné des retards de paiement, une surcharge administrative et des tensions avec les patients comme avec les organismes payeurs. D’autre part, l’incident majeur de février 2026 affectant le logiciel MLM, marqué par une violation massive de données personnelles. 

L’exemple de Dedalus met en évidence le rôle critique des éditeurs de logiciels hospitaliers.  L’indisponibilité temporaire de solutions critiques a entraîné des difficultés d’accès aux dossiers patients, des reports d’actes et une désorganisation des équipes. En contexte clinique, l’interruption d’un DPI dépasse le simple incident informatique : elle devient un incident opérationnel.

La téléradiologie illustre également cette fragilité. L’indisponibilité de Telediag a révélé combien les solutions d’interprétation sont devenues essentielles, avec pour conséquences des examens en attente, des retards diagnostiques et une priorisation forcée.

Enfin, l’incident CrowdStrike, bien qu’extérieur au secteur de la santé, a mis en lumière la vulnérabilité systémique induite par la dépendance à un fournisseur technologique central. Dans le domaine des soins, un acteur comparable, hébergeur de données de santé, éditeur stratégique ou infogérant national, pourrait être à l’origine d’une interruption d’une ampleur sans précédent.

Dans toutes ces situations, un même constat s’impose : si l’établissement ne contrôle pas la cause de l’incident, il en supporte néanmoins l’intégralité des effets. 

Dans ce contexte, un contrat d’assurance cyber adapté inclura non seulement les services habituels de gestion de crise avec intervention d’experts techniques, juridiques et services de communication, remise en service des systèmes et prise en charge des coûts de remédiation, mais aussi les pertes financières liées à l’interruption des soins ou à la désorganisation des équipes pouvant découler des défaillances d’un prestataire IT.

Selon la nature des activités de l’établissement et son niveau de dépendance à d’autres prestataires critiques pour son fonctionnement, en dehors des prestataires IT, il faudra également envisager d’étendre la garantie à toute carence de fournisseur. Cette garantie permet au contrat d’assurance cyber d’intervenir également en cas de défaillance de ces partenaires essentiels, afin de couvrir les pertes financières qui pourraient en résulter.

Par ailleurs, dans un secteur où la confiance conditionne l’activité, certains contrats cyber proposent également des garanties destinées à couvrir les risques réputationnels. Ces garanties ne se limitent plus à la prise en charge des frais de communication de crise mais intègrent la nécessaire prise en compte de l’indemnisation d’un préjudice financier quantifiable lorsqu’un incident, y compris imputable à un tiers, dégrade l’image ou la crédibilité institutionnelle de l’établissement. 

Cette garantie peut être activée à la suite d’une indisponibilité de service, d’une violation de données de santé ou de la défaillance d’un prestataire critique, dès lors que ces situations entraînent une perte de confiance de la part des partenaires, des autorités de tutelle ou de l’écosystème territorial, avec un impact mesurable sur les résultats financiers de l’établissement.

Ces garanties essentielles viennent compléter les garanties « pertes d’exploitation » standard des contrats et renforcer le dispositif global de prise en charge des pertes financières pour les acteurs du secteur de la santé.

Un dernier point mérite une attention particulière : les clauses de renonciation à recours fréquemment imposées par les hébergeurs et autres prestataires informatiques à leurs clients.

Afin de maîtriser leur exposition, les assureurs entendent, lorsqu’un sinistre engage la responsabilité d’un tiers, pouvoir exercer un recours contre le prestataire à l’origine de l’incident. Or, de nombreux prestataires IT imposent à leurs clients, établissements de santé comme acteurs d’autres secteurs, des clauses de renonciation à recours à leur encontre dans leurs contrats.

Ces dispositions contractuelles peuvent fragiliser la couverture d’assurance, voire conduire à une réduction ou à un refus d’indemnisation si l’assureur n’a pas été préalablement informé de l’existence de telles clauses, lesquelles le privent de tout recours contre le tiers responsable.

En l’absence d’adaptation spécifique du contrat d’assurance cyber, l’acceptation de ces renonciations à recours a pour effet de transférer le risque économique sur l’établissement de santé.