ANSSI, CERT Santé, ARS : la mosaïque cyber en pleine recomposition, et ce qu'elle change pour les DSI hospitaliers

Le 30 avril 2026, depuis l'ANTS qui venait de subir une fuite massive, le Premier ministre annonçait 200 millions d'euros et la création d'une nouvelle « autorité numérique de l'État ». Deux semaines plus tard, devant la commission de la défense de l'Assemblée nationale, Vincent Strubel, directeur général de l'ANSSI, démentait toute remise en cause des missions de l'agence. Pour le DSI hospitalier qui prépare ses échéances CaRE et ses obligations NIS 2, une question demeure : qu'est-ce qui change réellement dans la chaîne qui le concerne ?

Ce que la réforme Lecornu déplace — et ce qu'elle ne touche pas

Le périmètre annoncé par Matignon concerne le pilotage numérique de l'État : standardisation et sécurisation des infrastructures interministérielles, mutualisation des socles. C'est l'ex-DINUM, mutée, qui hérite du dossier. L'ANSSI conserve son rôle régalien fixé par le décret de juillet 2009 : doctrine, qualifications, supervision des opérateurs d'importance vitale et entités essentielles NIS 2, opération du CERT-FR, gestion des crises cyber majeures.

Pour un DSI hospitalier, la distinction compte. La chaîne réglementaire et opérationnelle qui le concerne — désignation OSE pour les CHU et établissements support de GHT, NIS 2, programme CaRE, certification HAS intégrant des critères cyber — relève d'une architecture sectorielle santé qui n'est pas dans le périmètre de la fusion DINUM/DITP. La réforme modifie le pilotage transverse de l'État, pas la doctrine cyber appliquée à l'hôpital. En situation de crise, c'est la lisibilité de la chaîne qui détermine la qualité de la réponse.

Trois étages, un effet mesurable : la chaîne santé telle qu'elle fonctionne aujourd'hui

Quand un établissement de santé est attaqué, trois étages institutionnels interviennent — chacun avec un rôle distinct, articulé avec les autres.

Étage national : l'ANSSI comme régulateur et appui

L'agence fixe les exigences, qualifie les solutions, supervise les opérateurs essentiels. Le CERT-FR opère la veille et l'appui en cas d'incident majeur. Pour les CHU et établissements support de GHT désignés OSE, la déclaration d'incident significatif est obligatoire et l'ANSSI peut être directement sollicitée — joignable au 3218 ou via [email protected]. En février 2026, Vincent Strubel résumait la dynamique en une formule : « Les hôpitaux réagissent mieux face aux cyberattaques. »

Étage sectoriel : le CERT Santé comme porte d'entrée

Créé en 2021 par renommage de l'ex-cellule ACSS et intégré à l'InterCERT-FR, le CERT Santé est porté par l'Agence du numérique en santé (ANS) sous double tutelle : pilotage stratégique des ministères sociaux, responsabilité opérationnelle de la direction générale de l'ANS. Sa mission combine appui à la réponse aux incidents, cybersurveillance proactive (audit de l'exposition Internet et des accès VPN des établissements) et sensibilisation.

La dynamique est tangible. Selon l'observatoire des signalements ANS, 749 incidents ont été déclarés en 2024 contre 581 en 2023 — environ la moitié d'origine malveillante, avec une montée des infostealers et du vol d'identifiants. Le taux de signalements donnant lieu à demande d'appui formelle au CERT Santé baisse (autour de 22 % en 2024), signe d'une autonomisation progressive. Permanence 24/7, joignable au 09 72 43 91 25. Le CERT Santé coopère avec l'ANSSI pour les établissements OSE et redirige vers le CERT-FR en cas de saturation.

Étage territorial : ARS, GRADeS, CRRC

Les 18 Agences régionales de santé déclinent la politique ministérielle, instruisent les candidatures CaRE et organisent la réponse territoriale aux incidents. À leurs côtés, les Groupements régionaux d'appui au développement de l'e-santé (GRADeS), constitués majoritairement en Groupement de coopération sanitaire (GCS) ou Groupement d'intérêt public (GIP), jouent le rôle de bras armé technique : ils hébergent les Centres de ressources régionaux cybersécurité (CRRC) déployés au titre de l'Axe 2 du programme CaRE.

Le financement passe principalement par le Fonds d'intervention régional, dont 26 millions d'euros ont été dédiés en 2024 aux actions cyber régionales. C'est l'étage où la doctrine nationale se traduit en pratique de terrain.

Un effet mesurable, mais à consolider

Lancé fin 2023, le programme CaRE a engagé 120 millions d'euros à février 2026 sur une enveloppe pluriannuelle de 750 millions d'ici 2027. Le Domaine 1, clôturé en juin 2025, a réuni plus de 1 000 candidats ayant déclaré avoir atteint les objectifs. Le Domaine 2 (continuité d'activité), lancé en juillet 2025, a fédéré 1 167 candidats pour 42,7 millions d'euros engagés. Plus de 1 800 exercices de crise cyber ont été conduits dans les hôpitaux français au cours des deux dernières années. Le résultat parle : la part des hôpitaux dans les cibles de rançongiciels est passée de 11 % en 2023 à 4 % en 2024 selon l'ANSSI.

Qui appeler à 3 heures du matin — cartographie opérationnelle

Note : les quatre premiers étages sont mobilisés dans la gestion opérationnelle de la crise cyber. La notification CNIL est une obligation parallèle qui s'active dès lors qu'une violation de données personnelles est avérée.

Regard d'expert 
La voix de la communauté SSI Santé.

REGARD D'EXPERT — APSSIS

L'Association pour la promotion de la sécurité des systèmes d'information de santé (APSSIS), fondée par Vincent Trély, fédère la communauté des RSSI et référents SSI du secteur. Elle n'a pas de pouvoir d'autorité, mais joue un rôle décisif de traduction terrain : elle relaie les exigences ANSSI dans le réel hospitalier, structure la filière par la formation, et produit des guides pratiques. Son Congrès national de la SSI Santé (CNSSIS), tenu chaque année au Mans, est devenu un rendez-vous structurant — la 14e édition aura lieu les 23, 24 et 25 juin 2026.

« Il me semble que les chaînes opérationnelles sont maintenant bien stabilisées. En situation de crise, plusieurs processus sont lancés en parallèle : la déclaration de l'incident auprès du CERT Santé, qui déclenche une alerte à l'ARS ; la déclaration à l'ANSSI dès que l'établissement est entité essentielle au sens de NIS 2 ; et, si l'incident inclut une atteinte aux données personnelles, une déclaration à la CNIL. Ce processus est clair, même s'il est lourd et que l'interopérabilité des plates-formes de déclaration est souhaitée. Les guides de gestion de crise produits par l'ANS et l'ANSSI, et plus de 1 800 exercices de crise cyber au sein des hôpitaux depuis deux ans, ont permis d'installer une routine. Le rôle du RSSI ? Facile : piloter la cellule opérationnelle et rendre compte à la cellule stratégique. »

Vincent Trély, fondateur de l'APSSIS

Trois angles morts que la réforme ne résout pas

La cartographie qui fonctionne — ANSSI, CERT Santé, ARS/GRADeS, CaRE, certification HAS — ne doit pas masquer trois échéances et trois zones de vigilance qui s'imposent aux DSI dans les 12 à 18 mois à venir.

Échéance BIA juin 2026 : l'horizon court

Le programme CaRE impose aux établissements de formaliser des Bilans d'impact sur l'activité (BIA) pour l'ensemble de leurs services critiques — urgences, chirurgie, pharmacie, imagerie, laboratoire — d'ici fin juin 2026, avec extension fin juin 2027 aux autres services. La désignation du référent PCRA devait être effective dès le premier semestre 2025. Pour les établissements en retard, l'horizon est court.

Domaine 3 et télémaintenance : l'angle fournisseurs

L'ouverture en 2026 du Domaine 3 du programme CaRE, dédié à la sécurisation des accès distants — télémaintenance fournisseurs et accès distants du personnel — ouvre un chantier sensible. Les portes laissées ouvertes par les éditeurs et intégrateurs pour leur maintenance restent l'un des principaux vecteurs d'intrusion, renvoyant à une responsabilité partagée entre établissement, intégrateur et éditeur encore mal stabilisée juridiquement.

NIS2 et périmètre élargi des GHT

La transposition française de NIS 2 étend significativement le périmètre des entités soumises à obligations cyber : groupements hospitaliers de territoire, fournisseurs critiques, prestataires de services managés, hébergeurs. Les GHT, en tant qu'entités fédératives sans personnalité morale propre, devront articuler la mutualisation de leur SI avec une supervision cyber consolidée — un défi de gouvernance que la Cour des comptes pointe depuis janvier 2025.

La lisibilité comme infrastructure de résilience

Dans un écosystème en recomposition, la première résilience est de savoir qui appeler à trois heures du matin. La séquence d'avril-mai 2026 aura au moins eu le mérite de rappeler que la lisibilité institutionnelle n'est pas un sujet périphérique : c'est une infrastructure de gouvernance à part entière, au même titre que les sauvegardes immuables ou la double authentification.

Les acteurs de la chaîne santé ont chacun leur place. Le travail collectif qui reste à mener n'est pas de les fusionner, mais de clarifier leurs interfaces, documenter les parcours de crise, outiller les RSSI sur le terrain. Le CNSSIS des 23-25 juin, les Rencontres ANS, les Agora CaRE en région : autant de moments où cette clarification se construit, par la communauté qui la vit. Le 2 août 2026, l'AI Act entrera dans sa phase d'application étendue, ajoutant une nouvelle couche d'exigences. La mosaïque tient, à condition qu'on en lise correctement les jointures.

Sources principales

• Vincent Strubel, audition devant la commission de la défense de l'Assemblée nationale, 13 mai 2026
• ANS – Programme CaRE : communiqués officiels D1 (juin 2025), D2 (juillet 2025), bilan financier 120 M€ engagés à février 2026
• ANS – Observatoire des signalements d'incidents de sécurité des SI pour les secteurs santé et médico-social, rapports 2023 et 2024
• ANSSI – Panorama de la cybermenace 2024, données de cibles ransomware par secteur
• Cour des comptes – Rapport sur la cybersécurité des établissements de santé, janvier 2025
• CERT Santé – Portail Cyberveille (cyberveille.esante.gouv.fr) et missions officielles ANS
• Décret n° 2009-834 du 7 juillet 2009 portant création de l'ANSSI
• APSSIS – Programme CNSSIS2026 (23-25 juin 2026, Le Mans) ; entretien Vincent Trély, fondateur APSSIS, mai 2026