« La santé numérique est une force, mais aussi une fragilité. Les données sont précieuses, convoitées, et il nous appartient de les protéger. » La journée « Cyber et Santé » de l’European Cyberweek de Rennes s’est ouverte sur ce rappel sans détour d’Hélène Delaveau, responsable du département Innovation en santé à l’ARS Bretagne. D’emblée, elle a replacé la cybersécurité au centre des préoccupations hospitalières. Dans un contexte où la transformation numérique s’accélère et où les usages digitaux se généralisent, cette fragilité n’est plus un risque théorique : elle constitue désormais un paramètre structurel avec lequel les établissements doivent composer au quotidien.
Trois dirigeantes, trois crises
Premier temps fort de la journée, la table ronde « Comprendre, anticiper et maîtriser le risque cyber » réunissait Florence Favrel-Feuillade, directrice générale du CHU Brest, Cécile Spender, directrice générale d’Hospi Grand Ouest (HGO), et Virginie Valentin, directrice générale du CHU Rennes. Trois dirigeantes confrontées à des cybercrises majeures, trois retours d’expérience, et un constat partagé : aucun établissement, même préparé, n’est totalement armé face à une attaque informatique.
Si Virginie Valentin, récemment arrivée à la tête de l’institution, n’a pas vécu de l’intérieur l’attaque subie par le CHU de Rennes le juin 2023, ses conséquences restent marquantes : le vol de 300 Go de données avait contraint l’établissement à fonctionner en mode dégradé durant plusieurs jours. Pour elle, la conclusion est sans ambigüité : « le risque cyber ne se résume pas à des attaques spectaculaires ; la défense se construit au quotidien, dans un effort continu de toutes les équipes. »
Si Virginie Valentin, récemment arrivée à la tête de l’institution, n’a pas vécu de l’intérieur l’attaque subie par le CHU de Rennes le juin 2023, ses conséquences restent marquantes : le vol de 300 Go de données avait contraint l’établissement à fonctionner en mode dégradé durant plusieurs jours. Pour elle, la conclusion est sans ambigüité : « le risque cyber ne se résume pas à des attaques spectaculaires ; la défense se construit au quotidien, dans un effort continu de toutes les équipes. »
HGO : six semaines de crise et un choc organisationnel
Même constat pour Cécile Spender, dont l’intervention a été l’un des temps forts de la table ronde. La directrice générale d’Hospi Grand Ouest est revenue avec une grande transparence sur l’attaque d’octobre 2024. Interprété au départ comme une opération menée depuis l’étranger, l’incident s’est finalement révélé être une malveillance interne, orchestrée par un ancien RSSI du groupe. Un scénario auquel personne ne s’attendait. « Nous nous pensions prêts, comme tout le monde. Pourtant, rien ne se passe vraiment comme prévu le jour J », confie-t-elle. Pendant six semaines, plusieurs établissements ont vu leur système d’information impacté, certaines activités ont dû être suspendues, des interventions chirurgicales reportées, tandis que la fuite de données devenait rapidement un enjeu critique.
Pour Cécile Spender, cette crise a mis en lumière un maillon essentiel : la gouvernance. « Nous n’avions pas assez anticipé la gouvernance », souligne-t-elle, en insistant sur le fait que « les attaques cyber ne relèvent pas uniquement du champ informatique : elles obligent à des arbitrages stratégiques, médicaux, logistiques et parfois médiatiques. »
L’expérience a fait émerger plusieurs priorités : disposer d’une cartographie précise du système d’information, clarifier les procédures d’urgence, définir des responsabilités partagées, et surtout fluidifier la communication entre soignants, cadres, DSI et direction générale. « Depuis, ajoute-t-elle, le groupe HGO a renforcé sa coopération avec les établissements partenaires et engagé un vaste travail d’acculturation aux enjeux cyber. » Une manière de transformer ce traumatisme en levier de progrès collectif.
Pour Cécile Spender, cette crise a mis en lumière un maillon essentiel : la gouvernance. « Nous n’avions pas assez anticipé la gouvernance », souligne-t-elle, en insistant sur le fait que « les attaques cyber ne relèvent pas uniquement du champ informatique : elles obligent à des arbitrages stratégiques, médicaux, logistiques et parfois médiatiques. »
L’expérience a fait émerger plusieurs priorités : disposer d’une cartographie précise du système d’information, clarifier les procédures d’urgence, définir des responsabilités partagées, et surtout fluidifier la communication entre soignants, cadres, DSI et direction générale. « Depuis, ajoute-t-elle, le groupe HGO a renforcé sa coopération avec les établissements partenaires et engagé un vaste travail d’acculturation aux enjeux cyber. » Une manière de transformer ce traumatisme en levier de progrès collectif.
CHU de Brest : « gagner deux ans en trois mois »
C’est précisément cette idée de transformation par la crise que l’on a retrouvée dans l’expérience du CHU de Brest. Pour Florence Favrel-Feuillade, l’attaque du 9 mars 2023 est devenue un événement fondateur dans l’histoire récente de l’établissement. « Nous avions connu des incendies, des pannes, la crise Covid… mais jamais une crise cyber de cette ampleur », rappelle-t-elle. À 20 h 48, ce jour-là, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) alerte la direction de communications frauduleuses repérées sur un serveur.
Moins de deux heures plus tard, la décision tombe : coupure totale d’Internet pour empêcher la progression de l’attaque. À 22 h 30, le CHU bascule en vase clos. Cette mise sous cloche inaugure 35 jours de crise, mobilisant intensivement les équipes informatiques, les directions fonctionnelles et les soignants. Pour la directrice générale, la clé de la résilience a résidé dans la communication interne : « Quatre réunions par jour au début. Informer vite, en interne comme en externe, a permis la résilience des équipes. » Ces rendez-vous réguliers, réunissant cadres, directions, DSI et soignants, « ont permis d’éviter les rumeurs, de maintenir la cohésion et d’associer les équipes à chaque étape du rétablissement ». Aujourd’hui, cette crise est devenue un accélérateur majeur. Plus aucun projet numérique ne passe sans validation par le RSSI, les règles d’hygiène informatique ont été renforcées, et la prise de conscience collective, du service informatique au bloc opératoire, a profondément marqué la culture de l’hôpital, ancrant la cybersécurité dans ses organisations.
Moins de deux heures plus tard, la décision tombe : coupure totale d’Internet pour empêcher la progression de l’attaque. À 22 h 30, le CHU bascule en vase clos. Cette mise sous cloche inaugure 35 jours de crise, mobilisant intensivement les équipes informatiques, les directions fonctionnelles et les soignants. Pour la directrice générale, la clé de la résilience a résidé dans la communication interne : « Quatre réunions par jour au début. Informer vite, en interne comme en externe, a permis la résilience des équipes. » Ces rendez-vous réguliers, réunissant cadres, directions, DSI et soignants, « ont permis d’éviter les rumeurs, de maintenir la cohésion et d’associer les équipes à chaque étape du rétablissement ». Aujourd’hui, cette crise est devenue un accélérateur majeur. Plus aucun projet numérique ne passe sans validation par le RSSI, les règles d’hygiène informatique ont été renforcées, et la prise de conscience collective, du service informatique au bloc opératoire, a profondément marqué la culture de l’hôpital, ancrant la cybersécurité dans ses organisations.
Un défi collectif
Quel que soit l’établissement, une attaque cyber laisse une empreinte durable. Mais elle constitue aussi une source de progrès, en révélant les fragilités et les leviers d’amélioration. En tête de liste : la formation, que les trois directrices qualifient unanimement de « première ligne de défense, fragile, mais la plus décisive ». La question des moyens demeure tout aussi cruciale. Les recommandations d’investissement, autour de 2 % du budget d’un établissement, « restent difficilement lisibles », déplore Virginie Valentin, qui plaide pour « une politique nationale claire ».
Pour Cécile Spender, la réponse passe par une mutualisation renforcée : le partage des retours d’expérience est « indispensable pour bâtir une résilience collective ». Car, au-delà des aspects techniques, ces témoignages soulignent que la cybersécurité touche désormais à la gouvernance, à l’organisation, à la communication et à la souveraineté numérique. Comme le résume Hélène Delaveau, « c’est bien d’un engagement collectif autour de la cybersécurité en santé dont nous avons besoin ».
> Article paru dans Hospitalia #71, édition de décembre 2025, à lire ici
Pour Cécile Spender, la réponse passe par une mutualisation renforcée : le partage des retours d’expérience est « indispensable pour bâtir une résilience collective ». Car, au-delà des aspects techniques, ces témoignages soulignent que la cybersécurité touche désormais à la gouvernance, à l’organisation, à la communication et à la souveraineté numérique. Comme le résume Hélène Delaveau, « c’est bien d’un engagement collectif autour de la cybersécurité en santé dont nous avons besoin ».
> Article paru dans Hospitalia #71, édition de décembre 2025, à lire ici
Envoyer à un ami
Version imprimable
Partager