Transformer, innover et sécuriser le secteur de la santé : que retenir de SantExpo 2025 ?

LE 12 JUIN 2025

La transformation numérique des établissements de santé s’accélère, portée par l’innovation et la nécessité d’améliorer la qualité des soins. Mais cette modernisation s’accompagne d’un défi de taille : garantir la sécurité des systèmes d’information hospitaliers, de plus en plus exposés aux cybermenaces. Le salon SantExpo, événement de référence pour les acteurs du secteur, a été l’occasion de faire le point sur les priorités en matière de cybersécurité et sur les initiatives concrètes mises en œuvre pour renforcer la confiance numérique au sein des établissements. 

Un secteur sous tension : la cybersécurité, un impératif vital 

Les cyberattaques contre les établissements de santé sont nombreuses et lourdes de conséquences : vols massifs de données sensibles, blocage des systèmes d’information par des rançongiciels, interruption des services critiques… La vulnérabilité des hôpitaux est aujourd’hui un enjeu de sécurité nationale. Au-delà de l’impact financier, ces attaques menacent directement la continuité des soins, compromettent la confidentialité des données médicales et ébranlent la confiance des patients dans le système de santé. 

Cette fragilité s’explique en grande partie par la dette numérique qui pèse sur de nombreux établissements : infrastructures obsolètes, hétérogénéité des systèmes, manque de ressources humaines qualifiées, et budgets informatiques limités. Dans un tel contexte, difficile de maintenir un niveau de sécurité adapté à l’intensité des menaces. 

Depuis bientôt soixante ans, SantExpo joue un rôle clé, en réunissant les acteurs publics et privés autour des grands enjeux du secteur de la santé. L’édition 2025 a notamment permis à la Direction du Numérique en Santé (DNS) et à l’Agence du Numérique en Santé (ANS) de faire le point sur l’avancement du programme CaRE, lancé en 2021 pour renforcer la résilience des établissements de santé face aux risques cyber. 

Programme CaRE : état des lieux 

Lancé en réponse à la vulnérabilité croissante des systèmes de santé face aux cyberattaques, le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) marque un tournant stratégique. Il s’est concrétisé fin 2023 par la publication d’un plan d’action ambitieux, doté de 750 millions d’euros sur 5 ans, avec deux objectifs majeurs : améliorer la capacité des établissements à réagir face aux attaques, et renforcer durablement leur sécurité opérationnelle. 

Sécurisation des accès distants : maitriser l’ouverture du SI 

Parmi les 5 domaines prioritaires établis par le programme, on retrouve la sécurisation des accès distants. Les SI hospitaliers sont de plus en plus ouverts à l’externe (prestataires en infogérance, maintenance, ou personnel en télétravail) ce qui multiplie les points d’entrée potentiels. Les constats montrent que les contrats actuels encadrant ces accès avec les fournisseurs sont souvent en décalage avec les exigences de sécurité actuelles. 

Des groupes de travail ont permis de poser les premiers jalons. Cinq objectifs ont été identifiés pour guider les établissements :  

  • La mise en place d’une politique de gestion des accès distants 
  • La mise en place d’une solution de sécurisation des accès distants internes 
  • La sécurisation de l’accès à la messagerie depuis l’extérieur  
  • La mise en place d’une solution de sécurisation des accès fournisseurs  
  • La mise en place d’une veille proactive et une gestion des alertes  

Parmi ces axes, la question des accès fournisseurs mérite une attention particulière : les prestataires devront désormais utiliser des moyens d’authentification sécurisés, incluant systématiquement le MFA, pour toute intervention à distance. Un changement qui renforce les exigences vis-à-vis des partenaires extérieurs et consolide la défense périmétrique des établissements. 

Zoom sur HospiConnect : structurer la gestion des identités au cœur des établissements 

Le domaine HospiConnect a été défini pour simplifier et sécuriser l’accès des professionnels de santé aux services numériques sensibles.  
Une phase de tests est actuellement menée par une quinzaine d’établissements de santé, en collaboration avec des industriels, dont Ilex en partenariat avec le Numih (fusion du Mipih et du Sib). Ce projet consiste à explorer des scénarios concrets de déploiement de dispositifs d’authentification basés sur la solution pro-santé connect et alignés aux exigences du Référentiel d’Identité Electronique (RIE). L’objectif : valider les conditions de mise en œuvre opérationnelle dans un environnement hospitalier, en tenant compte des contraintes métiers et techniques. 

Ces expérimentations visent à encourager les établissements à s’appuyer sur la solution Pro Santé Connect comme moyen d’authentification, notamment en vue d’accéder à des services nationaux tels que Mon Espace Santé ou, à terme, l’ordonnance numérique. 

Les premiers enseignements montrent que le succès de ce type de projet repose d’abord sur une bonne organisation de l’établissement : structuration des processus d’identification, fiabilisation des données RH en amont, et synchronisation avec l’identité nationale (RPPS+).  
Le choix du support d’authentification, tel que la carte eCPS, doit aussi s’adapter aux usages – très pertinent pour les professionnels mobiles entre établissements, moins pour des profils plus sédentaires ou occasionnels.  
La prochaine étape consistera à accompagner un plus grand nombre d’établissements dans cette dynamique, avec une approche progressive et pragmatique, pour bâtir un socle commun de confiance autour de l’identité numérique en santé. 

Construire ensemble un socle de confiance numérique 

Face à l’ampleur des défis cyber du secteur de la santé, l’implication conjointe des acteurs publics et privés est essentielle. C’est dans cette logique de co-construction que nous accompagnons les établissements de santé, aux côtés du Numih, pour leur permettre de déployer des solutions d’authentification conformes aux exigences du référentiel national. Notre objectif : proposer des dispositifs adaptés aux réalités du terrain, simples à intégrer, et capables de renforcer durablement la sécurité des accès et l’identification des professionnels. En structurant dès aujourd’hui un socle robuste d’identité numérique, nous contribuons à bâtir la confiance nécessaire à la transformation numérique du système de santé.