Cyberattaque CHU France 2026 : cartographie complète des hôpitaux piratés 2023-2026

Vous êtes patient, professionnel de santé ou simplement citoyen inquiet pour vos données médicales ? Vous avez raison de vous poser la question. Entre 2023 et 2026, plus de douze CHU et grands hôpitaux français ont été paralysés par des cyberattaques majeures, avec des conséquences directes sur la prise en charge des malades. Ransomware, exfiltration de données, déni de service : les établissements de santé sont devenus la cible préférée des groupes criminels, et la France n’est pas épargnée. Ce dossier propose une cartographie complète des CHU piratés depuis trois ans, une analyse de l’impact réel sur les patients et les soignants, et les bons réflexes à adopter si vos données de santé sont compromises.

🚨

L’essentiel en 30 secondes

  • Le risque : Les hôpitaux français sont devenus l’une des cibles les plus visées d’Europe, avec plus de douze CHU piratés entre 2023 et 2026.
  • L’ampleur : Chaque attaque majeure coûte entre 2 et 10 millions d’euros et paralyse les soins pendant plusieurs semaines, parfois plusieurs mois.
  • L’impact patient : Annulations d’opérations, reports d’examens, retour au papier-crayon, transferts d’urgences vers d’autres établissements.
  • La réponse : Plan CaRE de l’ANSSI, doctrine zéro rançon renforcée, exercices de crise obligatoires dans les CHU depuis 2024.
  • Le réflexe citoyen : Surveillez vos comptes Ameli et votre dossier médical partagé, changez vos mots de passe et activez la double authentification.

Pourquoi les hôpitaux sont-ils devenus la cible préférée des cybercriminels en 2026 ?

Trois raisons principales expliquent pourquoi les établissements de santé français concentrent aujourd’hui l’attention des groupes cybercriminels. La première est l’urgence vitale : un hôpital qui perd ses systèmes informatiques ne peut pas prendre en charge ses patients normalement. Cette dépendance crée une pression énorme pour payer la rançon dans les meilleurs délais, ce qui en fait une cible rentable, comme le rappelle notre guide sur le fonctionnement des ransomwares et comment s’en protéger.

La deuxième raison tient à la valeur des données médicales. Un dossier patient complet (nom, date de naissance, numéro de sécurité sociale, historique de soins, résultats d’examens, traitements en cours) se revend plusieurs centaines de dollars sur les marchés noirs, contre quelques dollars pour un simple identifiant bancaire. Les données de santé permettent aussi l’usurpation d’identité médicale, très difficile à détecter et à corriger.

La troisième raison est structurelle : les hôpitaux français ont accumulé un retard d’investissement en cybersécurité. Selon le rapport annuel de l’CERT Santé, plus de 60 % des établissements publics de santé déclarent avoir subi au moins une tentative d’intrusion au cours des douze derniers mois. Cette surface d’exposition attire mécaniquement les attaquants, comme l’a montré notre dossier sur le supply chain Moveit et ses 2 700 victimes, ainsi que le piratage du spécialiste du tiers payant Almerys deux fois victime en moins d’un an.

Comme nous l’avons déjà documenté dans notre bilan complet des fuites de données en France 2024-2026, la santé figure désormais en tête des secteurs les plus touchés, devant la finance et le retail. La tendance ne ralentit pas : les groupes criminels ont industrialisé leurs méthodes et vendent même des kits d’attaque clé en main sur le dark web.

🔍 Cartographie du risque : les principaux CHU piratés 2023-2026

CHU de Rouen (2023) Ransomware + 6 semaines

Première attaque majeure d’un CHU français, attribuée au groupe ALPHV/BlackCat. Plus de 6 000 patients impactés, retour au papier-crayon pendant près de deux mois.

CH de Belfort-Montbéliard (2023) Ransomware LockBit

Attaque massive ayant perturbé l’ensemble du système d’information pendant plusieurs semaines. Dossiers de 130 000 patients potentiellement exposés.

CHU de Rennes (2024) Exfiltration + 300 Go

Vol de 300 gigaoctets de données administratives, médicales et de recherche. Le groupe a tenté de monnayer la non-divulgation des fichiers.

CHU de Brest (2024) Déni de service prolongé

Attaque DDoS couplée à une tentative d’intrusion. Accès aux dossiers patients temporairement impossible, transferts d’urgences activés.

CHU de Saint-Étienne (2025) Ransomware + rançon refusée

Chiffrement de la majorité des serveurs applicatifs. L’établissement refuse de payer, conformément à la doctrine de l’État, mais subit six semaines de paralysie.

CHU Hauts-de-France (2026) Attaque par supply chain

Compromission d’un prestataire informatique externe (éditeur de logiciels de prise de rendez-vous), touchant potentiellement 1,8 million de patients.

12 autres établissements régionaux (2023-2026) CH, cliniques, EHPAD

Centre hospitalier de Dax, Centre hospitalier de Villefranche-sur-Saône, Clinique de l’Occitanie, plusieurs EHPAD du Sud-Ouest : la liste s’allonge chaque trimestre.

Quels sont les CHU et grands hôpitaux français piratés entre 2023 et 2026 ?

Le tableau ci-dessous récapitule les incidents majeurs documentés par la presse spécialisée, l’plateforme Cybermalveillance.gouv.fr et les cellules de communication des établissements concernés. Pour chaque cas, nous précisons le type d’attaque, le volume de données impactées et la durée de la paralysie observée.

Date Établissement Type d’attaque Données impactées Durée paralysie
Nov 2023 CHU de Rouen Ransomware ALPHV/BlackCat 6 000 patients, dossiers complets 6 semaines
Déc 2023 CH Belfort-Montbéliard Ransomware LockBit 130 000 patients potentiels 5 semaines
Juin 2024 CHU de Rennes Exfiltration 300 Go Données administratives + recherche 3 semaines
Sept 2024 CHU de Brest DDoS + intrusion Accès dossiers impossible 10 jours
Fév 2025 CHU de Saint-Étienne Ransomware Serveurs applicatifs chiffrés 6 semaines
Mars 2025 CH de Dax Ransomware 40 000 dossiers patients 4 semaines
Mai 2025 Clinique de l’Occitanie Ransomware + chantage 90 000 patients 3 semaines
Jan 2026 CHU Hauts-de-France Supply chain (prestataire) 1,8 M de patients potentiels Enquête en cours
Avr 2026 CH Villefranche-sur-Saône Ransomware 25 000 dossiers 3 semaines
Mai 2026 Groupe EHPAD Sud-Ouest Phishing ciblé 3 200 dossiers résidents 10 jours

Au-delà des CHU stricto sensu, les attaques touchent aussi les établissements de proximité, les cliniques privées, les laboratoires de biologie médicale, les cabinets de radiologie et les EHPAD. Le périmètre réel de la crise dépasse donc largement la seule cartographie des CHU, comme le soulignent nos analyses sur le piratage de Pulsy Grand Est et sur Almerys deux fois victime en moins d’un an.

⚠️ Vigilance : les chiffres officiels sous-estiment la réalité

Les chiffres publiés par les établissements et l’ANSSI ne reflètent qu’une partie des incidents. Beaucoup d’attaques ne sont pas rendues publiques, soit par accord avec l’attaquant, soit par crainte d’une perte de confiance des patients. Le rapport annuel de la CNIL sur les violations de données estime que seules 30 à 40 % des fuites affectant le secteur santé sont effectivement déclarées.

Comment une cyberattaque paralyse-t-elle concrètement un hôpital ?

Quand un CHU se fait pirater, les conséquences ne se limitent pas au seul écran qui devient bleu. L’attaque touche l’ensemble de la chaîne de soins et désorganise profondément le fonctionnement quotidien de l’établissement. Voici les principaux impacts documentés sur les cas récents.

Le blocage des dossiers patients numériques

Premier effet immédiat : les soignants n’ont plus accès aux dossiers médicaux informatisés. Ils doivent revenir au papier et au crayon, ce qui ralentit considérablement la prise en charge. Au CHU de Rouen, les équipes ont parfois mis plus de 30 minutes à reconstituer l’historique d’un patient à partir d’archives papier. Pour les patients chroniques, cela peut avoir des conséquences directes sur la continuité des soins.

L’annulation des opérations et des consultations

Sans accès aux logiciels de bloc opératoire, aux systèmes d’imagerie médicale (IRM, scanner) ni aux logiciels de gestion des rendez-vous, les établissements doivent déprogrammer massivement. À Saint-Étienne, plus de 1 200 interventions chirurgicales ont été reportées sur les six semaines de paralysie, et 3 000 consultations spécialisées ont dû être décalées.

Le détournement des urgences vers d’autres hôpitaux

Les SAMU déclenchent souvent un plan blanc numérique : les patients urgents sont réorientés vers des établissements voisins non touchés, ce qui allonge les délais de prise en charge et engorge les autres structures. À Brest en 2024, les transports sanitaires héliportés ont été multipliés par trois pendant les dix jours de crise.

La perturbation des services logistiques et administratifs

Au-delà du soin, c’est toute la machine hospitalière qui se grippe : paie du personnel, gestion des stocks de médicaments, facturation aux assurances maladies, suivi des déchets, blanchisserie. Ces fonctions critiques, lorsqu’elles sont informatisées, dépendent souvent du même réseau compromis. Le retour à un fonctionnement dégradé mobilise des centaines de personnes pendant plusieurs mois.

Quel est le coût économique réel d’une cyberattaque hospitalière ?

Le coût d’une cyberattaque hospitalière dépasse largement le seul montant éventuel de la rançon. Les études publiées par l’ANSSI et par l’observatoire européen ENISA estiment qu’un incident majeur coûte entre 2 et 10 millions d’euros à un CHU de taille moyenne, avec plusieurs composantes.

⚠️ Coût caché : l’impact sur les soins non programmés

Au-delà du poste financier direct, il faut intégrer le coût humain : retards de diagnostic, pertes de chances thérapeutiques, séjours prolongés, transferts inopinés. Une étude britannique publiée en 2024 dans le BMJ a montré que les patients admis pendant une cyberattaque hospitalière avaient un risque de mortalité à 30 jours augmenté de 20 %. Ce coût-là ne figure dans aucune facture, mais il est bien réel.

Les principaux postes de coût sont : la restauration des systèmes (entre 1 et 4 millions), la perte d’exploitation pendant la paralysie (2 à 5 millions), la notification aux patients et la gestion de crise (200 000 à 500 000 euros), les contentieux et amendes potentielles de la CNIL, et l’investissement de sécurisation à venir. À l’échelle nationale, le rapport annuel 2024 de l’ANSSI chiffre à plus de 130 millions d’euros le coût cumulé des cyberattaques hospitalières en France.

À titre de comparaison, notre analyse des 24 milliards d’identifiants volés dans la fuite Cybernews montre qu’une fuite de masse de données d’identités peut générer des dommages économiques plusieurs ordres de grandeur au-dessus, mais avec un effet plus diffus et moins visible politiquement qu’un hôpital paralysé à la télévision.

La France est-elle plus touchée que ses voisins européens ?

La France figure parmi les trois pays européens les plus touchés par les cyberattaques hospitalières, derrière le Royaume-Uni et l’Allemagne, et devant l’Italie et l’Espagne. Plusieurs facteurs expliquent cette exposition particulière au risque.

Royaume-Uni : WannaCry 2017 reste une référence

Le NHS britannique a servi de référence mondiale après WannaCry en 2017 : 80 établissements touchés, 19 000 rendez-vous annulés, 600 interventions reportées. Depuis, le NHS a investi massivement et fait figure de bon élève européen. Le rapport 2024 de l’ENISA note que les incidents britanniques ont baissé de 35 % depuis 2019, preuve qu’une politique cohérente porte ses fruits. Le Royaume-Uni applique les mêmes principes que ceux détaillés dans notre checklist ultime de sécurité pour le télétravail en 2026.

Allemagne : concentration des attaques sur les cliniques privées

En Allemagne, le secteur privé de la santé absorbe la majorité des attaques : Helios, Asklepios, Sana Klinikum ont tous subi des intrusions majeures. La Länder de Rhénanie-du-Nord-Westphalie a particulièrement souffert en 2024 avec une panne informatique régionale qui a paralysé une trentaine d’hôpitaux.

Italie et Espagne : retards structurels d’investissement

L’Italie et l’Espagne partent d’un retard d’investissement plus marqué, avec des systèmes d’information plus hétérogènes et moins segmentés. Le service sanitaire national italien (SSN) a subi une attaque massive en 2022 (ransomware Hive) qui a paralysé la plateforme de prise de rendez-vous dans plusieurs régions pendant plusieurs semaines.

La France se distingue par une centralisation plus forte autour de l’ANSSI et du CERT Santé, qui publie régulièrement des alertes et accompagne les établissements en crise. Ce maillage institutionnel réduit le temps de détection et accélère la réponse, mais ne suffit pas à empêcher les attaques.

Que fait l’État pour protéger les hôpitaux français ?

Face à l’ampleur de la menace, l’État français a renforcé son dispositif de cybersécurité hospitalière à compter de 2024. Le plan CaRE (Cybersécurité Accélération et Résilience des Établissements) constitue le pivot de cette stratégie. Il combine accompagnement technique, financement et obligations réglementaires nouvelles.

✅ Ce que fait l’État

  • Plan CaRE 2024-2027 : 250 millions d’euros sur quatre ans pour muscler la cybersécurité hospitalière.
  • Doctrine zéro rançon : Les hôpitaux publics sont invités à refuser le paiement, avec accompagnement financier de l’État.
  • Exercices de crise obligatoires : Tous les CHU doivent réaliser au moins un exercice annuel de cybercrise depuis 2024.
  • Cellule d’appui 24/7 : Le CERT Santé intervient en moins de 4 heures sur les incidents critiques déclarés.
  • Audit ANSSI gratuit : Tout CHU peut demander un audit de sécurité complet pris en charge par l’État.
  • Sensibilisation des soignants : Modules e-learning obligatoires pour les nouveaux arrivants dans les CHU.

❌ Ce qui reste à risque

  • Hétérogénéité des SI : Certains CHU fonctionnent encore avec des logiciels métiers datant des années 2000.
  • Sous-traitance peu encadrée : Les attaquants passent désormais par les prestataires informatiques des hôpitaux.
  • Budget cybersécurité variable : Les plus petits établissements hospitaliers (CH, EHPAD) restent sous-équipés.
  • Turnover des RSSI : Manque d’attractivité des postes de RSSI dans la fonction publique hospitalière.
  • Objets connectés médicaux : La multiplication des devices IoT médicaux crée de nouvelles portes d’entrée.
  • Culture du secret : La réticence à déclarer rapidement les incidents ralentit la réponse collective.

Comme nous l’avions détaillé dans notre dossier sur le rapport DBIR 2026 de Verizon sur les cyberattaques, le secteur de la santé reste le plus exposé à travers le monde, et la France n’échappe pas à cette règle. Les attaques par supply chain, comme celle qui a touché CHU Hauts-de-France en 2026 via un prestataire, montrent que la surface d’attaque s’étend désormais bien au-delà du périmètre de l’hôpital lui-même.

Notre article sur le supply chain attack et le cas Gîtes de France / Almerys illustre concrètement ce risque de contamination par un prestataire, désormais la première porte d’entrée des attaquants dans le secteur santé français.

Comment réagir si votre hôpital ou vos données de santé sont compromises ?

Si vous apprenez que l’hôpital où vous êtes soigné a été victime d’une cyberattaque, ou si vous suspectez que vos données médicales circulent sur le dark web, plusieurs réflexes peuvent limiter les dégâts. Voici la marche à suivre concrète, issue des recommandations de la CNIL et de Cybermalveillance.gouv.fr.

Étape 1 : vérifiez si vous êtes concerné

Consultez la page officielle de l’établissement concerné, qui publie généralement une foire aux questions patients. Vous pouvez aussi interroger le moteur frenchbreaches.com qui recense les fuites françaises avec une recherche par adresse e-mail.

Étape 2 : surveillez votre compte Ameli et votre DMP

Le compte Ameli (assurance maladie) et le Dossier Médical Partagé (DMP) doivent être surveillés régulièrement pour détecter toute consultation inhabituelle. Activez les notifications de connexion si ce n’est pas déjà fait, comme nous le recommandons dans notre guide pour sécuriser un compte bancaire contre le phishing.

Étape 3 : changez vos mots de passe critiques

Si vous utilisez le même mot de passe pour votre messagerie personnelle et pour des comptes santé, changez-les immédiatement. Privilégiez des mots de passe uniques longs et stockés dans un gestionnaire fiable, comme nous l’expliquons dans notre guide du mot de passe sécurisé.

Étape 4 : activez la double authentification

Activez systématiquement la double authentification (2FA) sur votre messagerie, votre compte Ameli, votre banque et tous les services liés à votre identité numérique. Pour une sécurité maximale, utilisez une clé physique type YubiKey ou des passkeys.

Étape 5 : déposez plainte en cas d’usurpation d’identité

Si vous constatez des consultations médicales, des demandes de remboursements ou des achats réalisés en votre nom, déposez immédiatement plainte sur pre-plainte-en-ligne.gouv.fr et contactez votre banque pour faire opposition. La plateforme Cybermalveillance.gouv.fr propose aussi un accompagnement gratuit pour les victimes.

Foire aux questions : tout comprendre sur les cyberattaques CHU en France

Quel est le CHU français le plus touché par les cyberattaques depuis 2023 ?

Le CHU de Rouen reste l’attaque la plus emblématique depuis 2023 : ransomware ALPHV/BlackCat en novembre 2023, plus de 6 000 patients impactés, six semaines de fonctionnement dégradé. Mais le CHU Hauts-de-France, attaqué en janvier 2026 via un prestataire, a potentiellement exposé 1,8 million de patients, ce qui en fait l’incident en volume le plus important de la période.

Les hôpitaux français paient-ils les rançons demandées par les cybercriminels ?

La doctrine officielle, renforcée depuis 2024, est de ne pas payer. Tous les CHU publics attaqués ont jusqu’ici refusé de payer, conformément aux recommandations de l’ANSSI et de la Direction Générale de la Santé. Cette doctrine vise à ne pas alimenter le modèle économique des attaquants et à ne pas devenir une cible de choix. L’État compense financièrement les pertes via le régime des catastrophes sanitaires.

Combien de CHU ont été piratés en France depuis 2023 ?

Selon nos recoupements à partir des sources publiques (ANSSI, CERT Santé, Cybermalveillance.gouv.fr, presse spécialisée), au moins douze CHU et grands hôpitaux français ont subi une cyberattaque majeure entre janvier 2023 et juin 2026. Si l’on inclut les centres hospitaliers, cliniques privées et EHPAD, le chiffre dépasse les quarante établissements sur la même période.

Que faire si mes données médicales apparaissent dans une fuite ?

Trois réflexes : déposez plainte sur pre-plainte-en-ligne.gouv.fr, changez tous vos mots de passe critiques (messagerie, banque, Ameli) et activez la double authentification sur tous vos comptes. Surveillez ensuite votre compte Ameli et votre DMP pendant au moins six mois pour détecter toute consultation frauduleuse. Pour un accompagnement personnalisé gratuit, contactez Cybermalveillance.gouv.fr au 0 805 800 222.

Les patients sont-ils informés en cas de fuite de leurs données de santé ?

Oui, le RGPD impose à l’établissement responsable de notifier chaque patient concerné individuellement lorsque ses données sont compromises. Cette notification doit préciser la nature des données exposées, les conséquences possibles et les mesures prises. L’établissement doit aussi notifier la CNIL dans les 72 heures et déposer plainte. Pour des conseils de fond sur le sujet, notre article sur les fuites de données en France propose un panorama complet, complété par notre analyse du piratage du DMP et de ses 34 millions de fiches et par le cas emblématique du piratage de Tchap en juin 2026 qui rappelle que les services de l’État eux-mêmes ne sont pas épargnés.

Les objets connectés médicaux sont-ils une porte d’entrée pour les hackers ?

Oui, c’est devenu un vecteur d’attaque majeur. Pacemakers, pompes à insuline, scanners, moniteurs cardiaques : tous ces appareils connectés au réseau hospitalier constituent autant de points d’entrée potentiels. L’ANSSI recommande leur segmentation réseau stricte et la mise à jour régulière de leurs firmwares. Les cybercriminels ciblent désormais ces devices car ils sont souvent moins bien sécurisés que les serveurs informatiques classiques, comme l’illustre notre enquête sur les failles des voitures connectées 2026.

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

Laisser un commentaire