Publié le sept. 2025
Partager
Les cyberattaques contre les systèmes de santé ne sont plus des événements isolés, elles constituent une menace mondiale croissante. Les hôpitaux, autrefois considérés comme des refuges sûrs, opèrent désormais dans un champ de bataille numérique où des acteurs malveillants ciblent des systèmes critiques à des fins lucratives, de perturbation ou même de levier géopolitique. En tant que clinicien chirurgical au sein du National Health Service (NHS) au Royaume-Uni et doctorant chercheur à l’Imperial College London, j’ai été témoin de première main du délicat équilibre entre technologie, sécurité des patients et continuité des services.
La vulnérabilité du secteur de la santé a été révélée à maintes reprises. Un précédent historique a été établi par l’attaque par rançongiciel WannaCry en 2017, qui a perturbé les opérations à travers le NHS. Plus récemment, l’attaque par rançongiciel Synnovis a paralysé les services de pathologie dans le sud-est de Londres et marqué le premier décès depatient au NHS directement attribué à une cyberattaque. En 2024, lacyberattaque contre Ascension a perturbé les services cliniques dans 19 États américains. Plus grave encore, la faille ayant touché Change Healthcare, une filiale du groupe UnitedHealth, a interrompu la facturation et le traitement des prescriptions à l’échelle nationale, avec des pertes économiques estimées à près de 2,5 milliards de dollars. En 2021, une cyberattaque contre le Health Service Executive (HSE) en Irlande a paralysé ses systèmes informatiques pendant plusieurs semaines, entraînant un coût estimé à 100 millions d’euros pour la reprise et causant d’énormes retards dans les services. Et en 2020, une attaque par rançongiciel contre l’hôpital universitaire de Düsseldorf, en Allemagne, a été associée à un décès de patient — l’un des premiers cas connus de fatalité liée à un incident cyber.
Ces exemples mettent en évidence une vérité cruciale : le secteur de la santé constitue une cible attrayante et de grande valeur, mais sa planification en matière de résilience accuse souvent un retard par rapport à d’autres secteurs critiques comme la finance ou l’énergie. Contrairement à ces industries, les hôpitaux ne peuvent tout simplement pas “arrêter” leurs systèmes pour des mises à jour ou des tests ; les soins vitaux doivent se poursuivre, souvent dans des conditions extrêmement contraignantes.
En conséquence, les initiatives de cybersécurité à travers le NHS ont évolué avec une attention croissante. Le nouveau gouvernement travailliste du Royaume-Uni a proposé un projet de loi sur lacybersécurité et la resilience visant à renforcer l’infrastructure numérique critique de la nation, y compris les services de santé. Ces développements témoignent d’une reconnaissance croissante, au plus haut niveau de l’État, des vulnérabilités du NHS face aux cybermenaces.
Mes recherches examinent la résilience des systèmes cyber-physiques (CPS) dans le domaine de la santé, en explorant la question suivante : si une cyberattaque perturbe un seul appareil ou composant d’un CPS, comment cette défaillance pourrait-elle se répercuter sur l’ensemble des équipements interconnectés d’un hôpital, et quelles en seraient les implications pour la sécurité des patients ?
Les CPS dans l’infrastructure de santé intègrent l’informatique numérique, les réseaux et les dispositifs médicaux physiques dans un écosystème étroitement connecté qui soutient les soins aux patients. Parmi les exemples figurent les pompes à perfusion connectées en réseau, les robots chirurgicaux et les systèmes de surveillance à distance des patients, où logiciels et composants physiques doivent fonctionner sans faille pour garantir la sécurité et l’efficacité.
Dans le cadre de mon doctorat, je modélise la résilience des services du NHS lors de cyberattaques, en cartographiant la manière dont les perturbations se répercutent à travers les couches cliniques, infrastructurelles et logistiques. Cela implique la construction d’un modèle de réseau bayésien afin de quantifier les voies de risque, d’identifier les points de défaillance uniques et de tester des stratégies d’intervention. La résilience ne consiste pas seulement à rétablir rapidement les systèmes ; il s’agit de garantir que les fonctions essentielles — telles que les interventions chirurgicales d’urgence, les soins intensifs et les diagnostics — puissent se poursuivre même lorsque les systèmes numériques tombent en panne. Plus encore, il faut tirer des enseignements afin que le système puisse reprendre ses opérations après la perturbation avec des performances améliorées par rapport à l’état antérieur.
Mon approche utilise la modélisation probabiliste, comme l’inférence bayésienne causale, pour simuler des scénarios « et si ». L’idée est de calculer à la fois la probabilité de différents types de défaillances et leurs effets en cascade potentiels à travers un réseau de systèmes. Cela nous permet d’estimer non seulement si un dispositif pourrait tomber en panne lors d’une cyberattaque, mais aussi comment cette défaillance pourrait se propager dans l’écosystème et, en fin de compte, affecter les patients.
Mes encadrants à l’Imperial College London — la Dr Mireille El-Hajj, la Dr Saira Ghafur et le Dr Jose Escribano — apportent une expertise en cybersécurité des soins de santé, en modélisation des systèmes et en mathématiques. Ensemble, nous visons à produire un outil que les NHS trusts et les décideurs politiques pourront utiliser pour prendre des décisions plus éclairées concernant l’allocation des ressources, l’acquisition de dispositifs et la planification de la continuité.
L’urgence est claire. Les cyberattaques contre le secteur de la santé augmentent en fréquence, en ampleur et en sophistication. Le coût financier est vertigineux, mais le coût humain est incalculable. Mon objectif est de proposer des stratégies fondées sur des données probantes qui adoptent une approche probabiliste des risques cyber-physiques, non pas simplement en verrouillant les dispositifs et les systèmes informatiques, mais en modélisant la manière dont les perturbations se propagent à travers les parcours de soins — avec la sécurité des patients comme priorité absolue. En définissant la résilience en termes de priorités cliniques, et en démontrant comment la modélisation probabiliste peut éclairer les décisions relatives aux investissements en matière de défenses, ce travail peut favoriser une plus forte adhésion clinique et un meilleur alignement entre les équipes techniques et la direction médicale. Une application future significative envisagée à travers mes recherches est le déploiement stratégique de modèles d’inférence bayésienne. Ces cadres statistiques avancés seront essentiels pour entraîner des modèles sophistiqués capables d’analyser et d’interpréter de vastes ensembles de données, en particulier dans le domaine des intrusions cyber-physiques. Cette application critique s’étend à divers secteurs, avec un accent particulier sur la médecine et les soins de santé.
En tirant parti de la puissance prédictive de l’inférence bayésienne, ces modèles seront capables d’identifier des schémas, de détecter des anomalies et de prévoir des vulnérabilités potentielles au sein de systèmes cyber-physiques complexes. Les enseignements tirés de ces analyses seront essentiels pour améliorer les processus de prise de décision. Dans le contexte de la médecine et des soins de santé, cela se traduit par des protocoles de sécurité renforcés pour les dispositifs médicaux, les données des patients et les infrastructures critiques. La capacité de prédire et d’atténuer les menaces cyber-physiques protégera la sécurité des patients, maintiendra l’intégrité des données et garantira la continuité de la prestation des services de santé essentiels, consolidant ainsi la résilience de ce secteur vital.
Cette étude porte autant sur la résilience que sur la cybersécurité. Il s’agit de reconnaître qu’au XXIᵉ siècle, la sécurité des patients dépend à la fois des chirurgiens et des serveurs, des anesthésistes et des algorithmes, et que la sécurisation des systèmes cyber-physiques doit commencer par la question : « Qu’est-ce qui assure la sécurité de nos patients ? » plutôt que seulement « Qu’est-ce qui maintient nos systèmes en ligne? » En tirant les leçons des échecs comme des réussites du passé, et en reliant l’expertise clinique à la modélisation des risques cybernétiques, nous pouvons construire un système de santé capable de résister aux tempêtes numériques de l’avenir.