Nos articles de blog

Renforcement cyber en établissement de santé : 7 actions obligatoires de sécurité

Gregory Cousyn

March 13, 2025

Temps de lecture :

1 minute

Deux professionnels de santé collaborent devant un écran d’ordinateur.

Face à la recrudescence des cyberattaques visant les établissements de santé, le ministère du Travail, de la Santé, des Solidarités et des Familles a publié une instruction.  

Entrée en vigueur dès sa publication, l’instruction N° DNS/2025/12 du 22 janvier 2025  impose la mise en place de 7 actions urgentes et prioritaires pour renforcer la sécurité des systèmes d’information. 

Ces mesures visent à renforcer la résilience des établissements sanitaires face aux menaces informatiques croissantes. Décryptage dans cet article.

⦿ Cet article pourrait également vous intéresser

Cybersécurité : calendrier des obligations pour les établissements de santé et les ESMS

Cybersécurité dans le secteur de la santé : un contexte de menace persistante 

Les incidents cyber de 2022 ont mis en évidence la vulnérabilité des infrastructures informatiques des hôpitaux et autres établissements de santé. En réponse, le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) a été conçu sous l’égide de la Délégation au Numérique en Santé (DNS). 

Ce programme s’intègre dans la Feuille de route du numérique en santé 2023-2027 et vise à conformer les établissements aux directives européennes NIS 1 et NIS 2.

Sécurisation accrue des systèmes d'information de santé : rappel du cadre légal et réglementaire

La cybersécurité dans le secteur de la santé repose sur plusieurs textes de référence, notamment :

  • Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé, qui introduit des exigences en matière de protection des données de santé.

  • Arrêté du 28 mars 2022 portant approbation du référentiel relatif à l'identification électronique des acteurs des secteurs sanitaire, médico-social et social, personnes physiques et morales, et à l'identification électronique des usagers des services numériques en santé (référentiel sur la Politique Générale de Sécurité des Systèmes d’Information de Santé -PGSSI-S) 

  • INSTRUCTION N° DGOS/PF/MSIOS/2012/347 du 25 septembre 2012 relative au renseignement de l’observatoire des systèmes d’information de santé 

  • INSTRUCTION N° SHFDS/FSSI/2023/15 du 30 janvier 2023 relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement 

  • NOTE D’INFORMATION N° DGOS/PF2/2019/207 du 26 septembre 2019 relative à la définition et au suivi des ressources et des charges des systèmes d’information hospitaliers

  • NOTE D’INFORMATION N° DGOS/PF5/2022/268 du 14 décembre 2022 relative à la mise en place de l’Observatoire permanent de la sécurité des systèmes d’information des établissements de santé (OPSSIES) et du référentiel des mesures de sécurité prioritaires

  • Feuille de route du numérique en santé 2023-2027 

  • Programme CaRE - Le plan d’action pour protéger nos établissements face à la menace cyber - Décembre 2023 

  • Les mesures prioritaires de sécurité des systèmes d’information - Référentiel à destination des établissements de santé - DGOS - Octobre 2022.

7 actions prioritaires à mettre en place par les établissements sanitaires

L’instruction N° DNS/2025/12 impose aux établissements sanitaires la réalisation de sept actions majeures, incluant des audits, des exercices de crise et une meilleure gestion des identifications.

1 - Exercices de crise cybersécurité annuels 

Tous les établissements doivent organiser au moins un exercice de crise par an, impliquant les décideurs (DG, DSI, PCME, etc.) et réalisant un retour d’expérience.

2 - Auto-évaluation de la maturité cyber  

Chaque structure doit mesurer son niveau de conformité et enregistrer les résultats sur la plateforme nationale de suivi.

Copilote Qualineo

Découvrez votre nouvel assistant IA Qualité

En savoir plus

3 - Audits de sécurité des infrastructures IT 

Des audits de sécurité réguliers sont exigés, avec une surveillance spécifique des annuaires techniques et des réseaux.

4 - Plan de Continuité et de Reprise d’Activité (PCA/PRA) 

Chaque établissement doit formaliser un plan d’ici 2025, avec une application progressive jusqu’en 2027.

5 - Intégration de la cybersécurité dans la gestion des risques 

La sécurité informatique doit être intégrée dans les plans d’amélioration de la qualité des établissements.

6 - Renforcement de l’identification des professionnels 

L’utilisation de moyens d’identification électronique (cartes CPS, Pro Santé Connect, etc.) devient obligatoire.

7 - Budgétisation du numérique et suivi des investissements 

Chaque établissement doit calculer et déclarer la part de son budget consacrée au numérique.

Une application immédiate et un suivi renforcé

L’instruction entrée en vigueur dès sa publication, s’impose à tous les établissements sanitaires, publics comme privés. 

Les Agences Régionales de Santé (ARS) sont chargées de la diffusion et du suivi de ces mesures.

L’objectif est d’assurer une protection renforcée des systèmes d’information de santé et prévenir les interruptions de service qui pourraient compromettre la prise en charge des patients. 

Pour en savoir plus

Instruction n° DNS/2025/12 du 22 janvier 2025  

Cet article sur le renforcement cyber dans les établissements sanitaires vous a intéressé.e ? Restez informé.e des actualités de votre secteur en vous abonnant à notre newsletter.

Partager l’article

Questions fréquentes

Questions fréquentes

Questions fréquentes

À propos de l’auteur

Gregory Cousyn

Grégory occupe le poste de Head of Customer Care & Quality chez Qualineo. Son parcours : ancien infirmier diplômé d’état ayant travaillé pour le Ministère des Armées, Grégory Cousyn intègre un établissement de santé où il occupait un poste de direction. Son expérience s’articule autour de l’optimisation des organisations pour développer les performances et l’activité d’un établissement, l’appui à la stratégie et la gestion de projets.

D’autres articles pourraient vous intéresser

No items found.