33 millions de patients exposés : l'état réel du chiffrement dans la santé française

Trente-trois millions. C'est le nombre de Français dont les données de santé ont été exposées en une seule attaque, celle de Viamedis et Almerys en janvier 2024. Numéros de sécurité sociale, dates de naissance, noms de mutuelles, garanties contractuelles, le tout aspiré en quelques heures par un attaquant qui avait simplement usurpé les identifiants d'un professionnel de santé. Pas de vulnérabilité zero-day, pas de malware sophistiqué. Un mot de passe volé. Trente-trois millions de dossiers.

Ce chiffre représente la moitié de la population française. Il place cette fuite parmi les plus graves jamais enregistrées en Europe. Et le secteur de la santé n'a pas attendu pour prouver que Viamedis n'était pas un accident, mais un symptôme.

La cascade d'incidents

La chronologie parle d'elle-même. Chaque trimestre apporte son lot de compromissions. Le secteur hospitalier français est attaqué avec une régularité qui relève de l'industrialisation. L'ANSSI classe la santé parmi les secteurs les plus ciblés dans son panorama de la cybermenace 2024, aux côtés des télécommunications et des collectivités territoriales.

L'hôpital d'Armentières illustre la brutalité de ces attaques. En février 2024, des attaquants ont exfiltré dix-huit gigaoctets de données médicales avant de les publier intégralement sur des forums spécialisés. Comptes rendus opératoires, diagnostics, résultats d'analyses biologiques, prescriptions, tout était lisible en clair. L'hôpital a dû fermer ses urgences pendant plusieurs heures, rediriger les patients vers d'autres établissements et mobiliser une cellule de crise pendant des semaines.

Deux mois plus tard, l'hôpital de Cannes confirme la publication de soixante et un gigaoctets de données sur internet. Des bilans de santé, des relevés d'identité bancaire, des copies de cartes d'identité. Le groupe de ransomware responsable avait pris le temps de trier les données les plus sensibles avant de les rendre publiques, maximisant l'impact médiatique et la pression sur l'établissement.

Le paradoxe santé : données critiques, budget minimal

Le secteur santé combine deux caractéristiques qui en font une cible idéale pour les cybercriminels. D'un côté, les données les plus sensibles qui existent dans le droit européen : le RGPD classe les données de santé dans la catégorie des « données sensibles » (article 9), soumises à un régime de protection renforcé. De l'autre, les infrastructures les moins bien protégées de tous les secteurs critiques.

Le coût d'une fuite de données dans le secteur santé est le plus élevé au monde, tous secteurs confondus. Le rapport IBM Cost of a Data Breach 2024 le chiffre à 9,77 millions de dollars en moyenne, soit le double du secteur financier (4,88 millions) et quatre fois la moyenne intersectorielle (4,44 millions). Pour un hôpital français, les estimations oscillent entre 10 millions d'euros pour la gestion de crise et la remise en état des systèmes, et 20 millions d'euros supplémentaires pour compenser la perte d'exploitation. Ces montants n'incluent pas les dommages liés à la divulgation de données médicales, dont le préjudice est par nature difficilement quantifiable.

La Cour des Comptes a rendu public en décembre 2024 un rapport alarmant sur la sécurité informatique des établissements de santé. Le constat est sans appel : les investissements de sécurité restent insuffisants, la gouvernance est éclatée entre les directions informatiques, les directions des soins et les tutelles régionales, et les plans de remédiation progressent trop lentement face à l'accélération des menaces.

Ce que la loi exige : un triptyque réglementaire

Trois cadres réglementaires convergent pour imposer le chiffrement des données de santé. Le premier, et le plus ancien, est le RGPD. L'article 9 classe les données de santé parmi les catégories spéciales de données personnelles, soumises à un régime d'interdiction de principe assorti d'exceptions strictement encadrées. L'article 32, combiné à cette classification, fait du chiffrement des données de santé une mesure pratiquement incontournable pour tout responsable de traitement dans le secteur médical.

Le deuxième cadre est la certification HDS (Hébergement de Données de Santé), obligatoire en France pour tout organisme public ou privé qui héberge, exploite ou sauvegarde des données de santé à caractère personnel. Le référentiel HDS, mis à jour en mai 2024, impose explicitement le chiffrement des données en transit (TLS 1.2 minimum) et au repos (algorithmes robustes). La nouvelle version, HDS 2.0, ajoute des exigences de souveraineté : l'hébergement physique doit avoir lieu dans l'Espace économique européen, avec une transparence totale en cas d'accès depuis un pays tiers.

Le troisième cadre est NIS2. La directive européenne, en cours de transposition en France, classe les établissements de santé parmi les entités essentielles ou importantes soumises à des obligations de cybersécurité renforcées. L'objectif M08 du référentiel ANSSI (ReCyF) exige une politique cryptographique formelle, y compris pour les établissements qui n'avaient, jusqu'ici, aucune obligation spécifique en matière de chiffrement en dehors du RGPD.

Le programme CaRE et ses limites

Face à l'urgence, le gouvernement a lancé en 2023 le programme CaRE (Cyberaccélération et Résilience des Établissements), doté de 750 millions d'euros sur cinq ans. L'ambition est de financer la montée en compétence cybersécurité de l'ensemble du parc hospitalier français : audits de sécurité, mise à jour des infrastructures, formation du personnel, et déploiement de solutions de protection.

Le programme avance, mais il se heurte à des obstacles structurels. Les établissements de santé fonctionnent avec des systèmes d'information hétérogènes, souvent construits par sédimentation sur plusieurs décennies. Un hôpital universitaire peut utiliser simultanément des dizaines d'applications métier (dossier patient informatisé, système d'imagerie PACS, logiciel de pharmacie, gestion des blocs opératoires), chacune avec son propre modèle de données et ses propres contraintes techniques. Chiffrer l'ensemble de ces flux suppose de cartographier d'abord l'intégralité des données sensibles, puis de déployer des solutions compatibles avec chaque brique applicative.

C'est précisément sur ce point que les solutions de chiffrement en tant que service (EaaS) présentent un intérêt pour le secteur. Des plateformes comme MAFATE proposent un chiffrement AES-256-GCM via API, hébergé en France sur infrastructure compatible HDS, avec des attestations de conformité exportables. L'intégration par API permet de chiffrer les données à la source, dans l'application métier elle-même, sans refonte de l'infrastructure sous-jacente. Pour un DSI hospitalier confronté à des dizaines de systèmes hétérogènes, cette approche modulaire est souvent la seule voie réaliste.

L'état réel du chiffrement hospitalier

Le rapport Thales Data Threat Report 2024 indique que seulement 57 % des données sensibles stockées dans le cloud sont chiffrées dans l'ensemble des secteurs. Le chiffre est probablement inférieur dans le secteur hospitalier français, où la migration cloud est moins avancée et où les contraintes budgétaires pèsent davantage sur les investissements de sécurité.

Les incidents de 2024-2025 le confirment de manière empirique. Dans chacune des attaques documentées (Viamedis, Armentières, Cannes, Mediboard, Alleray-Labrouste), les données exfiltrées étaient exploitables immédiatement par les attaquants. Elles ont été publiées en clair sur des forums, mises en vente sur des marchés noirs, utilisées pour des tentatives de phishing ciblé. Aucun de ces établissements n'a pu invoquer le chiffrement at-rest comme facteur atténuant. Aucun n'a pu bénéficier de l'exemption de notification prévue par l'article 34 du RGPD pour les données rendues « incompréhensibles » par des mesures techniques appropriées.

La CNIL a ouvert une enquête sur Viamedis et Almerys pour vérifier la conformité de leurs mesures de sécurité. Le parquet de Paris a lancé une enquête pénale. Les conclusions ne sont pas encore publiques, mais le schéma est familier : des identifiants compromis, un accès direct aux données en clair, aucune couche de chiffrement entre l'attaquant et les dossiers de 33 millions de patients.

Données de santé et souveraineté

La question du chiffrement des données de santé ne se limite pas à la protection contre les cyberattaques. Le nouveau référentiel HDS 2.0 introduit une dimension de souveraineté qui transforme le paysage des solutions éligibles.

L'exigence d'hébergement dans l'Espace économique européen et la transparence en cas d'accès depuis un pays tiers visent directement le risque lié au CLOUD Act américain. Un hôpital qui héberge ses données de santé chez un fournisseur cloud américain, même dans un datacenter situé en France, s'expose au risque que les autorités américaines exigent l'accès à ces données. Pour des dossiers médicaux, ce risque est considéré comme inacceptable par les autorités sanitaires françaises.

Le chiffrement avec gestion souveraine des clés constitue une réponse technique à ce problème juridique. Si les clés de chiffrement sont détenues exclusivement par l'établissement de santé ou par un tiers de confiance soumis au droit français, les données restent protégées même en cas d'injonction juridictionnelle étrangère adressée au fournisseur d'infrastructure.

La fenêtre d'action

Deux deadlines convergent pour le secteur de la santé. La certification HDS 2.0, obligatoire au 16 mai 2026, impose le chiffrement at-rest et en transit avec des algorithmes robustes. La transposition de NIS2, attendue d'ici fin 2026, ajoute l'obligation d'une politique cryptographique formelle et d'un audit de conformité. Les établissements qui n'auront pas déployé de solution de chiffrement à ces échéances se retrouveront en infraction simultanée avec le RGPD, le référentiel HDS et NIS2.

Le programme CaRE fournit le financement. Les solutions EaaS fournissent les outils. Le calendrier réglementaire fournit l'urgence. Ce qui manque, dans trop d'établissements, c'est la décision. Le directeur qui arbitre entre un scanner IRM supplémentaire et une couche de chiffrement sur les bases de données fait un choix compréhensible sur le plan médical. Mais les trente-trois millions de patients de Viamedis rappellent que ce choix a un coût, et que ce coût est de plus en plus difficile à ignorer.

Lire aussi dans ce dossier :

• → DORA est en vigueur : ce que les banques doivent chiffrer
• → Ransomware double extorsion : le chiffrement at-rest comme dernier rempart