Technomedia

Numérique · médias · sciences · intelligence artificielle

Santé publique : la souveraineté numérique ne peut plus attendre

santé



Par Olivier Arous, CEO d’OGO Security

Le secteur santé n'a plus le luxe d'attendre pour sécuriser ses données. Entre cyberattaques en hausse et incertitudes sur l'hébergement, les administrations doivent trancher.


Le secteur de la santé est devenu le troisième secteur le plus exposé aux cybermenaces en France. Il concentre 10 % des interventions de l'ANSSI en 2025, derrière l'éducation et la recherche (34 %) et les ministères et collectivités territoriales (24 %), d'après le Panorama de la cybermenace 2025, publié par l'ANSSI. Un classement qui confirme une tendance de fond. Les organisations de santé manient des données parmi les plus sensibles, et restent des cibles de choix pour des attaquants aux motivations variées, du gain financier à la déstabilisation pure.

Des attaques qui touchent directement les patients

Derrière ces chiffres, une réalité concrète. En 2025, 288 signalements ont contraint des établissements de santé à passer en mode dégradé ou à interrompre la prise en charge de leurs patients. Cela représente 38 % des signalements reçus par le CERT Santé, une hausse de 24 % par rapport à 2024, d'après l'Observatoire des signalements d'incidents de sécurité des systèmes d'information, publié par l'Agence du numérique en santé (ANS). Une attaque informatique dans un hôpital n'est donc plus un simple incident technique. Elle a un impact direct sur des soins, avec des conséquences qui peuvent s'étendre sur plusieurs jours, voire plusieurs semaines pour les établissements les moins préparés.

Une architecture pensée pour ne jamais interrompre le service

Face à cette pression, la disponibilité des plateformes numériques de santé devient un enjeu aussi important que leur sécurité. Un site institutionnel ou une application de suivi patient qui tombe pendant une attaque, c'est un service public qui s'arrête. Les répercussions sont immédiates sur la prise de rendez-vous, la délivrance d'ordonnances ou l'accès à des campagnes de prévention. La continuité de service n'est plus une option technique parmi d'autres. C'est une condition de la mission de soin elle-même, au même titre que la sécurité elle-même.

La souveraineté, un chantier que l'État lui-même reconnaît inachevé

La Cour des comptes a rappelé en octobre 2025 que le caractère souverain des outils numériques de l'État n'a longtemps pas été garanti, notamment pour les applications métier les plus critiques. Elle recommande une stratégie de souveraineté numérique clairement définie, d'après son rapport sur les enjeux de souveraineté des systèmes d'information civils de l'État. Un constat qui vaut particulièrement pour la santé, où la sensibilité des données rend la question de l'hébergement d'autant plus critique.

Le débat n'a rien de théorique. Lors d'une audition au Sénat en juin 2025, un représentant de Microsoft France a confirmé que des données hébergées en France pouvaient être transmises aux autorités américaines si la justice des États-Unis l'exigeait. Cela vaut y compris pour des services utilisés par des administrations et des établissements de santé français, d'après le compte rendu officiel de la commission d'enquête du Sénat. Pour des acteurs publics qui manipulent des données médicales sensibles, cette confirmation montre que la localisation des serveurs en Europe ne suffit pas, à elle seule, à garantir une protection totale. Le choix du prestataire technique compte tout autant que celui du pays d'hébergement.

Un enjeu qui dépasse la seule santé

Les collectivités territoriales, les hôpitaux et les autres agences publiques françaises partagent le même dilemme. Comment moderniser leurs services sans exposer leurs données à des juridictions étrangères, ni sacrifier la disponibilité de leurs plateformes ? Ce choix doit se faire en amont des projets, et non après un incident. Revenir en arrière sur une infrastructure déjà déployée coûte toujours plus cher que de bien la construire dès le départ.

La souveraineté numérique n'est plus un argument secondaire. C'est devenu une condition de la confiance entre le secteur public et les citoyens qu'il sert. Les organisations qui l'intègrent dès la conception de leur architecture prennent une longueur d'avance sur celles qui la découvrent après une crise.