Journée SSI Santé APSSIS 2025 : une cybersécurité plus mature, mais un financement toujours sous tension

Des progrès concrets, visibles dans les pratiques

Les participants s’accordent sur un constat : le secteur gagne en maturité. Grâce aux investissements ciblés des dernières années, les hôpitaux réagissent mieux aux incidents et conduisent leurs exercices de crise avec davantage de méthode. Les temps de bascule en mode dégradé se raccourcissent, les chaînes décisionnelles s’affinent et la coordination entre directions, soignants et équipes techniques s’améliore nettement.
Dans un contexte où chaque minute compte, cette professionnalisation est perçue comme un tournant, preuve que la cybersécurité n’est plus cantonnée aux services informatiques mais irrigue désormais l’ensemble des organisations.

Le financement, point de rupture potentiel

Malgré ces avancées, une inquiétude domine : l’absence de visibilité budgétaire. Les enveloppes actuelles, souvent ponctuelles, ne permettent pas de stabiliser l’effort de sécurité. Résultat : des infrastructures qui vieillissent vite, des projets difficiles à maintenir et une dépendance persistante aux financements exceptionnels.
Autre signal d’alerte : la pénurie de spécialistes. Les établissements peinent à recruter et à retenir des profils qualifiés, pourtant indispensables pour consolider les progrès réalisés. La filière peine encore à séduire, faute de perspectives claires et de moyens durables.

CaRE change d’échelle et prépare le long terme

Face à ces défis, CaRE poursuit sa montée en puissance. Le programme s’ouvre désormais à des domaines essentiels : authentification renforcée des professionnels via HOSPI-Connect, sécurisation des accès distants, protection du poste de travail ou encore accompagnement du médico-social.
L’articulation entre CaRE et OPEN 2 doit, elle, offrir un levier supplémentaire, en mutualisant les financements et en favorisant des choix technologiques plus cohérents. L’objectif affiché : ancrer les établissements de santé dans une trajectoire de sécurité durable.

NIS 2 et Cyber Resilience Act : un paysage réglementaire qui se durcit

Le cadre réglementaire, lui, se resserre. La directive NIS 2 et le Cyber Resilience Act imposent aux éditeurs de corriger leurs vulnérabilités et aux établissements d’atteindre un niveau de transparence et de sécurité plus élevé.
Mais plusieurs zones d’ombre persistent. L’interprétation de “l’état de l’art” pour les dispositifs médicaux MDR/IVDR, ou encore le périmètre réel des mises à jour correctives — parfois incluses, parfois payantes — interrogent les acteurs. Des arbitrages qui nécessiteront entre les autorités publiques, les industriels et les professionnels de terrain pour éviter les impasses.