Bilan 2025 : une menace installée, une résilience qui s'organise
Selon le rapport annuel de l'Agence du Numérique en Santé (ANS) sur la cybersécurité des systèmes d'information en santé, 764 incidents de sécurité ont été déclarés au CERT Santé sur l'année 2025. Ces signalements proviennent de 606 structures ayant déclaré au moins un incident, ce qui dénote une progression de la maturité déclarative des établissements. À titre de comparaison, l'historique du CERT Santé montre que 749 incidents de sécurité signalés en 2024, soit une augmentation continue de la sinistralité déclarée.
Une bonne nouvelle ressort néanmoins du bilan : seuls 2 incidents majeurs ont été recensés, contre 3 en 2024. Cette stabilisation des crises majeures — celles qui paralysent complètement un établissement — résulte des efforts de renforcement de la résilience menés dans le cadre du programme national CaRE (Cybersécurité Accélération et Résilience des Établissements). L'ANS signale aussi que 79 % des dirigeants se déclarent bien ou assez bien préparés à faire face à une cyberattaque, un indicateur de progression de la culture cyber dans les organisations de santé.
Le médico-social en première ligne : +48 % de signalements
C'est le chiffre qui doit alerter directement les IDEC et cadres de santé en EHPAD : le secteur médico-social enregistre + 48 % de signalements dans le médico-social par rapport à l'exercice précédent. Cette hausse spectaculaire place les établissements d'hébergement pour personnes âgées, les SSIAD et les structures handicap au premier rang des cibles émergentes.
L'explication est structurelle : le médico-social a longtemps été moins outillé sur le plan de la sécurité informatique que les établissements de santé, et les investissements réglementaires dans les SI de soins (Ségur numérique, DUI obligatoire) ont élargi la surface d'attaque sans que les défenses n'aient toujours suivi. Par ailleurs, 38 % des signalements reçus concernaient des incidents entraînant un fonctionnement en mode dégradé — ce qui signifie concrètement : dossier résident inaccessible, plannings infirmiers bloqués, logiciel de prescription hors service.
Les nouvelles formes d'attaques : au-delà du rançongiciel
Si le rançongiciel reste dans les mémoires comme la cybermenace emblématique du secteur santé, le bilan 2025 montre une mutation des techniques d'attaque. Bonne nouvelle : les attaques par rançongiciel reculent (-30 % en un an) — tendance positive qui témoigne de la montée en maturité des défenses. Mauvaise nouvelle : d'autres vecteurs progressent.
52 % des incidents sont désormais d'origine malveillante (+22% par rapport à 2024). Les menaces qui montent sont les compromissions des comptes, les fuites de données et les tentatives d'escroquerie bancaire, notamment l'arnaque au président, faux ordre de virement. Ces attaques visent les personnels administratifs mais aussi les cadres disposant de droits d'accès élevés — ce qui inclut les IDEC qui gèrent les plannings, les achats de matériel ou les accès au dossier résident partagé.
L'ANS note également que 58 % des incidents signalés en santé en 2024 sont dus à une vulnérabilité applicative — ce qui souligne l'importance de maintenir à jour les logiciels de soins utilisés en EHPAD (planification, DUI, messagerie sécurisée).
Ce que l'IDEC doit protéger au quotidien
En EHPAD, l'IDEC est souvent la professionnelle qui maîtrise le plus le logiciel de soins, gère les habilitations d'accès de l'équipe infirmière et reçoit les alertes du prestataire informatique. Les points de fragilité prioritaires identifiés par l'ANS sont sans ambiguïté : gestion de l'identification électronique, sécurisation des sauvegardes, maîtrise des systèmes exposés et préparation à la gestion de crise.
Traduits en gestes concrets pour une équipe IDEC :
- Gestion des comptes : veiller à ce que chaque membre de l'équipe dispose d'identifiants individuels (jamais de compte partagé) ; supprimer les accès des agents qui quittent l'établissement dans la journée ;
- Sauvegardes : vérifier que le logiciel de soins est sauvegardé quotidiennement et que des sauvegardes déconnectées existent (non accessibles depuis le réseau en cas d'infection) ;
- Systèmes exposés : ne pas brancher de clé USB d'origine inconnue sur un poste de soins ; signaler immédiatement toute lenteur anormale du système ;
- Préparation à la crise : disposer d'un plan de continuité sur papier permettant de travailler en mode dégradé (fiche patient papier, liste de contacts médicaux, procédures de soins essentiels). Nos procédures EI/EIG incluent un volet gestion de crise informatique.
Pour approfondir ces bonnes pratiques numériques en EHPAD, notre rubrique Outils recense les ressources pratiques disponibles pour les équipes soignantes.
Obligations réglementaires des établissements de santé et médico-sociaux
Les établissements de santé et médico-sociaux ne sont pas laissés sans cadre juridique. Sur le plan réglementaire, les dispositions du présent arrêté entrent en vigueur le 1er juillet 2023, fixant des obligations de sécurité pour les opérateurs de services essentiels en santé. Parmi les obligations : les opérateurs doivent communiquer les coordonnées du responsable sécurité à l'ANSSI dans trois mois.
Sur le terrain de la protection des données patients, le RGPD s'applique pleinement : les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. Et concernant l'hébergement : le recours à un hébergeur de données santé (HDS) est nécessaire pour les données des personnes résidant en France permettant une identification directe. En EHPAD, cela concerne directement le prestataire du logiciel de soins et de la messagerie médicale sécurisée.
L'IDEC n'est pas la direction générale de l'établissement, mais elle est souvent informée des contrats prestataires. S'assurer que le fournisseur du logiciel de soins est bien certifié HDS est une question légitime à poser à la direction ou à l'informatique de l'établissement. Voir notre fiche sur le rôle de l'IDEC en EHPAD pour le positionnement de ces missions transversales.
Ressources disponibles : programme CaRE et CERT Santé
L'ANS a développé deux dispositifs complémentaires pour soutenir les établissements. Le programme CaRE et les dispositifs de veille proactive et d'accompagnement du CERT Santé constituent les deux piliers de la réponse nationale. Le programme CaRE finance des audits et des mises à niveau sécurité pour les établissements du secteur. Cette dynamique engage les directions : plus de 700 directeurs hospitaliers ont été mobilisés pour mesurer la perception du risque cyber.
Le CERT Santé est la cellule dédiée au traitement des signalements des incidents de sécurité pour les systèmes d'information (SI) des structures de santé. En cas de suspicion d'incident (lenteur inexplicable, demande de rançon à l'écran, données inaccessibles), la procédure est claire : appeler la hotline CERT Santé au +33 (0)9 72 43 91 25, disponible en semaine 9h-18h, et consulter le portail Cyberveille qui fournit fiches et guides sur les bonnes pratiques en matière de cybersécurité.
Pour les IDEC qui souhaitent approfondir leurs compétences numériques, notre répertoire de formations recense les DPC dédiés à la sécurité des SI en établissement. La cybersécurité est désormais une compétence de la coordination infirmière au même titre que la gestion des risques ou la qualité des soins.