Cybersécurité en santé 2025 : les rançongiciels reculent, les comptes compromis progressent

Le rapport 2025 de l’Observatoire des incidents du CERT Santé, centre de réponse aux incidents cyber du secteur santé, confirme une stabilité apparente des signalements. Mais derrière les 764 incidents déclarés, la cybersécurité santé 2025 change de centre de gravité : les rançongiciels reculent, tandis que les comptes compromis, les accès illégitimes, la fuite de données santé et les fraudes imposent aux établissements de santé comme aux établissements et services médico-sociaux (ESMS) une vigilance moins spectaculaire, mais plus constante.[1]

À retenir (lecture rapide)

• Le CERT Santé recense 764 incidents cyber en santé en 2025, un volume presque stable.

• Les rançongiciels baissent de 30 %, mais les comptes compromis structurent désormais le risque.

• Les fuites d’identifiants exposent les établissements à des intrusions, fraudes et violations de données.

• Les ESMS déclarent davantage, avec des moyens souvent plus contraints que les hôpitaux.

• La continuité d’activité reste centrale, y compris lorsque l’origine n’est pas malveillante.

Un volume stable qui masque une mutation du risque

Le chiffre brut pourrait laisser croire à une accalmie. En 2025, 764 incidents de sécurité des systèmes d’information (SI) ont été déclarés au CERT Santé, contre 749 en 2024 et 581 en 2023. Le nombre de structures ayant signalé au moins un incident atteint 606, soit une hausse de 9 % en un an.^[1] Cette progression ne signe pas seulement une aggravation de la menace. Elle traduit aussi une culture du signalement qui s’installe progressivement dans les organisations sanitaires et médico-sociales.

Cette lecture appelle toutefois de la prudence. Un observatoire fondé sur les déclarations mesure à la fois l’exposition réelle, la capacité de détection et la propension des structures à remonter les incidents. Dans les territoires ou les ESMS moins dotés, certains événements peuvent encore passer sous les radars. Le CERT Santé rappelle d’ailleurs l’obligation de déclaration, notamment dans les régions où le volume de signalements reste faible au regard de l’activité hospitalière.^[1]

L’Agence du Numérique en Santé (ANS) résume ce moment par une formule sobre : « Car la menace ne disparaît pas, elle se transforme. »^[2] Pour les incidents cyber à l’hôpital, l’enjeu éditorial et opérationnel se déplace donc. Les attaques qui paralysent un établissement par chiffrement massif demeurent possibles, mais elles ne suffisent plus à décrire la menace. En 2025, les signaux les plus structurants concernent les compromissions de comptes, l’usage frauduleux d’identifiants, les accès distants et les données exposées.

Le rapport du CERT Santé qualifie ainsi la compromission du SI de « menace la plus importante en 2025 ».^[1] Dans le même temps, les incidents liés aux rançongiciels diminuent de 30 % par rapport à 2024. En France, le rançongiciel en santé reste donc un risque majeur, mais il n’est plus l’unique prisme de lecture. Sur les 28 attaques par rançongiciel recensées en 2025, 12 ont touché plusieurs serveurs, 12 un seul serveur et 4 uniquement un poste de travail ; certaines ont été précédées d’une exfiltration d’informations sensibles ou confidentielles.^[1]

Le compte utilisateur devient le périmètre le plus exposé

La bascule la plus nette concerne l’identité numérique. Le vol d’identifiants s’impose comme un vecteur central, qu’il vise une messagerie professionnelle, un accès à distance, un compte utilisateur ou un compte de maintenance d’application métier. Le CERT Santé souligne la place des infostealers, logiciels malveillants conçus pour dérober des données, et de l’hameçonnage dans cette dynamique de compromission.^[1]

Cette évolution dépasse le seul secteur sanitaire. Cybermalveillance.gouv.fr observe en 2025 une hausse de 70 % de l’hameçonnage tous publics confondus. Pour les professionnels, les piratages de comptes en ligne arrivent en tête des menaces, avec une progression de 45 %.^[5] Les établissements de santé et les ESMS évoluent donc dans un marché criminel très organisé, où les identifiants volés circulent, se revendent et servent de point d’entrée à des attaques plus ciblées.

Dans les incidents de compromission analysés par le CERT Santé, la messagerie représente 50 % des vecteurs identifiés. Elle devance les comptes applicatifs ou de maintenance classés dans la catégorie « autre » (25 %), l’Active Directory (AD, service d’annuaire Microsoft) à 8 % et les accès par réseau privé virtuel (VPN) à 5 %.^[1] Pour les incidents d’une criticité significative ou importante, la hiérarchie se déplace : le VPN représente 40 % des vecteurs de compromission et l’AD 33 %.^[1]

Cette granularité modifie la feuille de route des directions générales, des directions des systèmes d’information (DSI) et des responsables de la sécurité des systèmes d’information (RSSI). Il ne suffit plus de raisonner en pare-feu, sauvegarde et réaction de crise. Il faut surveiller les comptes dormants, revoir les habilitations, journaliser les connexions, limiter les privilèges et contrôler les usages réels. Cette priorité rejoint la sécurisation de l’identification des professionnels et des accès au SIH, devenue un socle de résilience autant qu’un sujet de conformité.^[11]

Les rançongiciels reculent, les données deviennent la cible

La baisse des rançongiciels ne doit pas être confondue avec un retour au calme. Elle suggère plutôt que certaines capacités de prévention, de détection et de réponse progressent. Le CERT Santé met en avant ses interventions proactives après des signalements d’activités malveillantes en cours, avec des actions ayant permis d’éviter un chiffrement ou une propagation dans le SI. Plus de 120 bénéficiaires ont également été alertés en 2025 sur l’exposition d’un service numérique potentiellement vulnérable.^[1]

Cette tendance rejoint les constats de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Dans son Panorama de la cybermenace 2025, l’agence décrit l’usage croissant d’outils légitimes détournés par les attaquants, notamment des solutions d’accès à distance ou de supervision, qui brouillent la frontière entre activité normale et activité hostile.^[3] En santé, cette tactique est particulièrement sensible : éditeurs, prestataires, mainteneurs et infogérants disposent souvent d’accès techniques nécessaires à l’exploitation quotidienne.

Le recul sectoriel du rançongiciel ne s’inscrit donc pas dans un vide. L’ANSSI observe en 2025 la persistance de chaînes d’attaque mêlant extorsion, espionnage, outils légitimes détournés et recherche d’accès durables.^[3] La baisse relevée par le CERT Santé signale moins la disparition d’un danger que son déplacement vers des compromissions plus discrètes, parfois plus longues à qualifier.

Dans ce contexte, la donnée devient un terrain de prédation majeur. Le rapport indique que 76 % des structures déclarantes considèrent que l’incident a eu un impact sur des données, qu’elles soient personnelles, techniques ou liées au fonctionnement de l’organisation. Parmi les incidents impactant des données, 54 % touchent des données de santé à caractère personnel, 34 % des informations personnelles hors données patient, principalement des identifiants de comptes utilisateurs, 6 % des données techniques sensibles et 6 % des informations confidentielles ou stratégiques.^[1]

La Commission nationale de l’informatique et des libertés (CNIL) a, de son côté, recensé 6 167 violations de données notifiées en 2025, en hausse de 9,5 % par rapport à 2024. Elle précise qu’un incident déclaré sur deux relève d’un piratage et tire trois enseignements des notifications reçues : aucun secteur n’est épargné, les violations sont de plus en plus massives et elles impliquent souvent des prestataires.^[4]

Pour les établissements, une fuite d’identifiants ne peut donc plus être traitée comme un incident de faible intensité. Même sans chiffrement, elle peut ouvrir la voie à une intrusion, à une exfiltration, à une fraude ou à une usurpation durable. Les épisodes récents de données administratives de patients volées montrent qu’une attaque sans rançon peut déjà fragiliser la confiance, exposer les patients à l’hameçonnage et alourdir la gestion réglementaire.^[10]

Le médico-social entre dans le champ du signalement cyber

Autre évolution significative : le médico-social apparaît plus nettement dans l’Observatoire du CERT Santé. Le nombre d’ESMS ayant déclaré au moins un incident augmente de 50 %, tandis que leurs signalements progressent de 48 %.^[1] Les établissements de santé restent majoritaires, avec 61 % des incidents déclarés, mais le nombre de signalements qu’ils portent diminue de 20 %.^[1]

Cette hausse dans le médico-social doit être interprétée avec nuance. Elle témoigne d’abord d’une meilleure connaissance des procédures de signalement par des structures longtemps moins accompagnées que les hôpitaux. Elle révèle aussi une exposition numérique croissante : logiciels métiers, plateformes de coordination, échanges avec les familles, liens avec les financeurs, télémaintenance et dépendance accrue aux prestataires.

Le rapport note que les rançongiciels recensés en 2025 concernent majoritairement des établissements et services médico-sociaux, avec des modes dégradés parfois prolongés pendant plusieurs semaines.^[1] Ce point doit retenir l’attention, car ces structures disposent rarement des mêmes équipes, budgets et capacités de supervision que les grands établissements hospitaliers. La résilience numérique des établissements de santé doit désormais être pensée à l’échelle des territoires, des groupements, des prestataires et des parcours patients.^[9]

La Cour des comptes avait déjà souligné, dans son rapport du 3 janvier 2025, que la vulnérabilité des établissements de santé tenait notamment à l’interconnexion croissante des SI avec l’extérieur et à un sous-investissement chronique dans le numérique.^[6] L’élargissement des signalements au médico-social confirme que la cybersécurité n’est plus un sujet réservé aux grands plateaux techniques hospitaliers. Elle concerne aussi les organisations plus petites, plus dispersées et parfois moins armées face aux incidents.

Une maturité réelle, mais encore inégale

Le rapport ne décrit pas un secteur immobile. Il souligne au contraire une progression de la maturité. En 2025, 60 % des incidents étaient résolus ou en cours de résolution par la structure avant leur déclaration. La part des incidents pour lesquels le CERT Santé a été sollicité pour des actions d’investigation et d’aide à la remédiation reste stable, à 31 %.^[1]

Les incidents majeurs poursuivent également leur baisse : 2 ont été recensés en 2025, contre 3 en 2024.^[1] L’ANS y voit le signe d’un secteur qui apprend, s’exerce et s’organise, notamment grâce aux exercices de crise, aux audits, au programme CaRE (Cybersécurité accélération et résilience des établissements) et à la veille proactive du CERT Santé.^[2][7]

Cette amélioration ne doit pourtant pas masquer la fragilité opérationnelle. Le CERT Santé recense 288 signalements ayant contraint les établissements à passer en mode dégradé ou à interrompre la prise en charge des patients, soit 38 % des signalements reçus. Ce nombre augmente de 24 % par rapport à 2024. Seuls 25 % de ces incidents ont une origine malveillante ; les autres relèvent notamment de pertes de lien télécom, de bugs applicatifs sur le dossier patient informatisé (DPI), de dysfonctionnements d’infrastructure locale ou de défaillances de prestataires.^[1]

La cybersécurité rejoint ici la continuité d’activité. Une panne, une coupure de lien, un bug ou un prestataire indisponible peuvent produire, pour les équipes de soins, des effets très proches d’une attaque. La crise numérique ne commence pas toujours par une intrusion ; elle peut pourtant perturber les mêmes prescriptions, les mêmes transmissions et les mêmes décisions cliniques. Le rapport recense 63 mises en danger patient potentielles en 2025, dont 8 mises en danger avérées.^[1] La maturité cyber se mesure donc autant à la capacité de défense qu’à la faculté de maintenir une prise en charge sûre lorsque le numérique se dérobe.

Les priorités 2026 se jouent dans les accès, les sauvegardes et les prestataires

Pour les établissements et les ESMS, l’enseignement pratique tient d’abord aux accès distants. Le CERT Santé recommande de réduire la surface d’attaque, de désactiver les comptes, protocoles et services non indispensables, de renforcer les configurations et de mettre à jour les équipements exposés : VPN, fermes RDS, routeurs, pare-feu ou équipements de sécurité.^[1]

Le deuxième axe concerne l’authentification. La récupération de mots de passe par force brute, hameçonnage ou infostealer progresse, et les attaquants accèdent de plus en plus aux systèmes avec des identifiants valides, en particulier sur les passerelles VPN et les applicatifs exposés.^[1] La généralisation de l’authentification multifacteur (MFA) devient donc une mesure de réduction du risque, sous réserve d’un déploiement conforme au règlement général sur la protection des données (RGPD), comme le rappelle la CNIL dans sa recommandation du 1er avril 2025.^[8]

Le troisième axe porte sur les sauvegardes. Dans plusieurs incidents liés à un rançongiciel, les établissements de santé n’ont pas pu les exploiter parce qu’elles avaient elles-mêmes été chiffrées. Le CERT Santé recommande d’identifier les données critiques, de mettre en place des sauvegardes automatiques et récurrentes, de restreindre les accès, de tester les restaurations et d’intégrer ces exigences à la stratégie de continuité et de reprise d’activité.^[1]

Le quatrième axe concerne les prestataires. Le CERT Santé invite à inscrire dans les contrats des engagements de maintien en conditions de sécurité, la possibilité de réaliser des audits et un cadrage clair des solutions de télémaintenance.^[1] Cette exigence rejoint les observations de la CNIL, qui relève que les violations de données impliquent souvent des prestataires et appellent une défense en profondeur, des traces exploitables et une gouvernance contractuelle plus ferme.^[4]

Enfin, le signalement doit rester un réflexe professionnel. Un incident déclaré permet d’alerter d’autres structures, de qualifier une campagne, d’identifier un mode opératoire et de fermer plus vite un point d’entrée. À l’inverse, une compromission non remontée entretient les angles morts d’un secteur déjà très interconnecté.

En 2026, la cybersécurité en santé ne se résume donc plus au rançongiciel. Elle se joue dans l’identité numérique, la messagerie, les accès distants, la relation aux prestataires, la protection des données et la capacité des équipes à travailler en mode dégradé sans perdre la maîtrise de la prise en charge. Le risque est moins visible, parfois moins spectaculaire. Il n’en est pas moins stratégique.

Références

1. CERT Santé / Agence du Numérique en Santé, « L’Observatoire des incidents », 11/05/2026.

2. Agence du Numérique en Santé, « Cybersécurité : un niveau de menace qui s’installe, une résilience qui s’organise », 05/05/2026.

3. ANSSI / CERT-FR, « Panorama de la cybermenace 2025 », 11/03/2026.

4. CNIL, « Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 », 18/05/2026.

5. Cybermalveillance.gouv.fr, « Cybermalveillance.gouv.fr dévoile les tendances de la menace cyber en France », publié le 26/03/2026, mis à jour le 06/05/2026.

6. Cour des comptes, « La sécurité informatique des établissements de santé », 03/01/2025.

7. Agence du Numérique en Santé, « Le programme CaRE », page consultée le 19/05/2026.

8. CNIL, « Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données », 01/04/2025.

9. Caducee.net, « Cybersécurité dans les établissements de santé : renforcer les défenses face à une menace croissante », 21/01/2025.

10. Caducee.net, « Cyberattaques contre les hôpitaux : des données administratives de patients volées », 09/09/2025.

11. Caducee.net, « HOP’EN 2 : calendrier 2026, dépôts et preuves à sécuriser », 11/05/2026.