cybersécurité EHPAD protection données résidents
DUI & Logiciels

Cybersécurité en EHPAD : guide pratique pour directeurs 2026

11 mai 2026 10 min de lecture Aurélie Mortel
Ressource recommandée Référence
La Bible du Management EHPAD - édition 2026

La Bible du Management EHPAD - édition 2026

La bible du management EHPAD : équipes, conflits, QVT, performance.

À partir de 29,90 € Découvrir la bible
Partager

Mis à jour le 6 mai 2026 — La cybersécurité n’est plus un sujet réservé aux DSI des grands groupes hospitaliers : en EHPAD, les cyberattaques se multiplient et touchent directement la continuité des soins et la protection des données personnelles des résidents. Ce guide pratique détaille les menaces réelles, les mesures prioritaires à mettre en place et les dispositifs de financement disponibles.

Un secteur médico-social de plus en plus ciblé

Selon l’ANSSI, le secteur de la santé est le troisième secteur le plus touché par les cyberattaques en France, après les collectivités territoriales et les TPE/PME. En 2023, 296 incidents d’origine malveillante ont été signalés au CERT-Santé, et les attaques ont augmenté de 250 % par rapport à l’année précédente. En pratique, quatre établissements de santé sont victimes de cyberattaques chaque jour en France.

Les EHPAD cumulent plusieurs facteurs de vulnérabilité : traitement quotidien de données de santé sensibles (dossiers résidents, prescriptions, données biométriques), budgets informatiques contraints, équipements vieillissants souvent non mis à jour, personnel peu formé aux enjeux numériques et interconnexion croissante avec des logiciels métier (DUI, pharmacie, télémédecine). L’affaire de l’EHPAD de Marigny-le-Lozon, victime en 2024 d’un ransomware ayant exposé les données de résidents, illustre concrètement ces risques.

Les trois principales menaces qui visent les EHPAD

Les ransomwares

Un ransomware chiffre l’intégralité des données (dossiers résidents, planning, logiciel de soins) et exige une rançon pour les restituer. En EHPAD, cela peut bloquer l’accès au DUI (Dossier Usager Informatisé), aux ordonnances médicales et aux protocoles d’urgence — avec des conséquences directes sur la sécurité des résidents.

Le phishing (hameçonnage)

Le phishing consiste à tromper un employé pour qu’il clique sur un lien malveillant ou saisisse ses identifiants sur un faux site. En EHPAD, les cibles prioritaires sont les adresses mail génériques (direction@, comptabilite@) et les comptes d’accès aux logiciels de paie ou de gestion RH. Une seule ouverture de pièce jointe malveillante peut compromettre l’ensemble du réseau.

L’exfiltration de données

Ce type d’attaque vise à voler discrètement les données personnelles des résidents (identité, santé, situation bancaire) pour les revendre ou les utiliser à des fins frauduleuses. Elle est souvent silencieuse pendant plusieurs semaines avant d’être détectée.

Les 10 mesures prioritaires à mettre en place

  1. Cartographier les accès et données sensibles : identifier qui a accès à quoi (DUI, logiciels RH, messagerie) et réduire les accès au strict nécessaire (principe du moindre privilège).
  2. Mettre à jour systématiquement les logiciels : les mises à jour corrigent les failles exploitées par les pirates. Programmer des fenêtres de maintenance régulières.
  3. Activer l’authentification à deux facteurs (2FA) : sur les messageries, les logiciels métiers et les accès à distance. Indispensable pour les accès télétravail et les prestataires.
  4. Sauvegarder les données sur supports déconnectés : une sauvegarde quotidienne sur un support non connecté au réseau (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site) limite l’impact d’un ransomware.
  5. Cloisonner le réseau informatique : séparer le réseau de soins du réseau Wi-Fi résidents/familles et du réseau administratif. Un isolement partiel peut limiter la propagation d’une attaque.
  6. Former le personnel aux gestes cyber : une session annuelle de sensibilisation (phishing simulé, gestion des mots de passe, conduite à tenir en cas de doute) réduit considérablement le risque humain.
  7. Disposer d’un antivirus et d’un pare-feu à jour sur tous les postes fixes et portables. Vérifier régulièrement que les licences sont actives.
  8. Établir un Plan de Continuité d’Activité (PCA) cyber : documenter la procédure en cas d’attaque (qui appeler, quelles données prioriser, comment fonctionner en mode dégradé). L’article dédié au PCA en EHPAD privé détaille les obligations selon le statut juridique.
  9. Contractualiser la cybersécurité avec les prestataires : exiger des clauses de sécurité dans les contrats de maintenance informatique et de fourniture de logiciels.
  10. Réaliser un diagnostic « Mon Aide Cyber » : outil gratuit de l’ANSSI accessible en ligne, il produit en 20 minutes un état des lieux de la maturité cyber de l’établissement avec des recommandations priorisées.

Programme CaRE : le financement national pour les ESMS

Lancé en décembre 2023 et doté de 750 millions d’euros d’ici 2027, le programme CaRE (Cybersécurité accélération et Résilience des Établissements) est piloté par la Délégation au numérique en santé (DNS), l’ANS, l’ANSSI et les ARS. Il concerne les établissements sanitaires mais aussi, depuis 2025, les ESMS dont les EHPAD.

Concrètement, l’ANS accompagne des ESMS via les GRADeS régionaux pour réaliser des diagnostics « Mon Aide Cyber » et des exercices de crise cyber financés. En 2026, le troisième domaine du programme se concentre sur la sécurisation des accès distants — télémaintenance, télétravail, télémédecine — particulièrement exposés.

Comment en bénéficier : contacter votre ARS ou votre GRADeS régional pour connaître les appels à candidature en cours. Le guide IA et numérique du site détaille les dispositifs de financement disponibles par type de structure.

Gérer un incident cyber en EHPAD : les premières 72 heures

  1. Isoler immédiatement les équipements compromis du réseau (débrancher le câble réseau, désactiver le Wi-Fi) sans les éteindre — l’analyse forensique sera plus facile.
  2. Prévenir le prestataire informatique et, si l’attaque est significative, le CERT-Santé (cert-sante@esante.gouv.fr ou 09 72 72 09 45).
  3. Notifier la CNIL dans les 72 heures si des données personnelles ont potentiellement été compromises (obligation RGPD, article 33).
  4. Informer les résidents et familles concernés si leurs données ont été exposées (obligation RGPD, article 34).
  5. Activer le PCA : fonctionnement en mode dégradé (papier si nécessaire), priorisation des soins critiques.
  6. Porter plainte auprès de la gendarmerie ou du commissariat dans les 24 heures : nécessaire pour l’assurance cyber et pour contribuer aux statistiques nationales.

Le rôle de chaque professionnel

Le directeur

Il porte la responsabilité légale de la protection des données (RGPD) et doit désigner un référent cybersécurité interne ou externe. Il valide et finance le plan cyber, et organise les exercices de crise annuels. Il est aussi le décideur en cas d’incident : isolation, notification CNIL, communication.

L’IDEC et le cadre de santé

L’IDEC veille à ce que les accès au DUI et aux logiciels de soins soient sécurisés (mots de passe robustes, non partagés) et à ce que le personnel soignant connaisse la procédure en cas d’incident. En cas d’attaque sur le DUI, il organise le retour au fonctionnement papier et assure la traçabilité manuelle des soins. Consulter le guide DUI et logiciels EHPAD pour les bonnes pratiques de sécurisation des accès.

L’équipe soignante (IDE, AS)

Les soignants sont en première ligne face au phishing. Les réflexes à ancrer : ne jamais cliquer sur un lien suspect, ne jamais brancher une clé USB inconnue, signaler immédiatement tout comportement anormal de son poste. Les tablettes et outils numériques en EHPAD doivent être configurés avec des profils restreints.

Évolutions réglementaires 2025-2026 à connaître

  • Décret souveraineté numérique (24 mars 2026) : renforce les obligations d’hébergement des données de santé. Le décret du 24 mars 2026 impose de recourir à des hébergeurs certifiés HDS pour les logiciels en SaaS.
  • AI Act européen (2026) : si votre EHPAD utilise des outils d’IA (détection de chutes, analyse de comportement), des obligations de transparence et d’audit s’appliquent. Voir AI Act et EHPAD.
  • NIS 2 (2024) : les grands groupes gestionnaires entrant dans les catégories d’entités essentielles sont soumis à de nouvelles obligations (gestion des incidents, formation, audits).
  • RGPD – Accountability : l’EHPAD doit tenir un Registre des activités de traitement (RAT) à jour et pouvoir démontrer la conformité à tout moment.
Un EHPAD est-il vraiment une cible pour les hackers ?
Oui. Les EHPAD gèrent des données de santé sensibles cotées très cher sur le darkweb, ont souvent des budgets informatiques limités et des systèmes vieillissants — ce qui en fait des cibles moins protégées que les hôpitaux, mais avec des données tout aussi précieuses. Plusieurs EHPAD français ont été victimes de ransomwares entre 2023 et 2025.
Que risque concrètement un EHPAD en cas de violation de données RGPD ?
Les sanctions de la CNIL peuvent atteindre 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (selon le plus élevé). Au-delà, l’établissement s’expose à une atteinte à sa réputation et à des recours des personnes dont les données ont été exposées.
Le programme CaRE est-il accessible aux petits EHPAD ?
Oui, via les GRADeS régionaux pour des ESMS de toutes tailles. Les diagnostics « Mon Aide Cyber » peuvent être réalisés sans prérequis technique. Contactez votre ARS pour les dispositifs ouverts dans votre région en 2026.
Comment protéger le DUI contre les cyberattaques ?
Accès nominatifs (pas de compte partagé), mots de passe forts changés régulièrement, hébergement chez un prestataire certifié HDS, sauvegardes quotidiennes externalisées. En cas d’indisponibilité du DUI, prévoir un kit papier d’urgence (fiches résidents critiques imprimées et stockées en lieu sûr).
Doit-on déclarer une cyberattaque même si aucune donnée n’a été volée ?
Si l’attaque constitue une violation de données personnelles (même sans exfiltration avérée), la notification à la CNIL dans les 72 heures est obligatoire. En cas de doute, le CERT-Santé peut aider à qualifier l’incident.
Faut-il souscrire une assurance cyber spécifique en EHPAD ?
Fortement recommandé. Une assurance cyber couvre les frais de remédiation, de notification (CNIL, résidents), d’expertise forensique et la perte d’exploitation. Les primes varient de 2 000 à 15 000 euros/an selon la taille et le niveau de maturité cyber.

Pour aller plus loin

Ressource expert recommandée Pack Premium
PACK CODIR « MAÎTRISE TOTALE »
PACK CODIR « MAÎTRISE TOTALE »

La bibliothèque complete du CODIR : 6 ouvrages clés pour piloter ensemble.

  • Directeur + IDEC + Hébergement
  • +800 pages référence
  • Economie 60 EUR vs achat séparé
À partir de 104,90 € TTC Découvrir le pack
Directeur d’EHPAD recycle-2026
Partager cet article
Dossier expert Comparatif Logiciel EHPAD et DUI : Le Guide Complet [2026]

Le guide de référence 2026 sur les logiciels EHPAD définit les enjeux de numérisation, présente les fonctionnalités clés et les exigences du Ségur numérique, et...

Lire le dossier
Offres d'emploi en EHPAD
Agent de service hôtelier/hospitalier (ASH) en EHPAD F/H – Emera Résidence Victoria
Emera Résidence Victoria 📍 06 - Mouans-Sartoux (06) CDD
CUISINIER HF H/F
Groupe SOS 📍 Montbrison (42) CDD
Toutes les offres d'emploi
Boutique SOS EHPAD

Ressources pour votre pratique

Formations, guides et outils selectionnes en lien avec votre profil professionnel

La Bible juridique des EHPAD – Édition 2026 Ouvrages et Livres
La Bible juridique des EHPAD – Édition 2026
29,90 € TTC Voir
La Bible du Management EHPAD - édition 2026 Ouvrages et Livres
La Bible du Management EHPAD - édition 2026
29,90 € TTC Voir
Procédure Mode Dégradé et Gestion de la Pénurie de Personnel Procédures EHPAD
Procédure Mode Dégradé et Gestion de la Pénurie de Personnel
11,90 € TTC Voir
Réussir les Entretiens Annuels et Professionnels en EHPAD : Un Levier pour le Bien-Être et la Performance Mini-formations EHPAD
Réussir les Entretiens Annuels et Professionnels en EHPAD : Un Levier pour le Bien-Être et la Performance
9,90 € TTC Voir
A lire aussi

Autres articles en DUI & Logiciels

Poursuivez votre lecture avec ces articles sur le meme sujet

Tablettes et outils numériques en EHPAD : guide pratique pour maintenir le lien social des résidents [2026]
DUI & Logiciels Tablettes et outils numériques en EHPAD : guide pratique pour maintenir le lien social des résidents [2026] 29 avril 2026
Programme CaRE : l’ANS accompagne 21 ESSMS en cybersécurité — comment candidater avant le 4 juin 2026
DUI & Logiciels Programme CaRE : l’ANS accompagne 21 ESSMS en cybersécurité — comment candidater avant le 4 juin 2026 8 avril 2026
Ségur Numérique Vague 2 en EHPAD : ce que votre DUI devra faire avant 2028
DUI & Logiciels Ségur Numérique Vague 2 en EHPAD : ce que votre DUI devra faire avant 2028 26 mars 2026
Comparatif Logiciel EHPAD et DUI : Le Guide Complet [2026]
DUI & Logiciels Comparatif Logiciel EHPAD et DUI : Le Guide Complet [2026] 13 mars 2026
Voir tous les articles
Sur le meme theme

Articles qui pourraient vous interesser

Selection basee sur vos centres d'interet

Indicateurs de qualité EHPAD : maîtriser les obligations de transparence en 2026
Évaluation HAS Indicateurs de qualité EHPAD : maîtriser les obligations de transparence en 2026 12 mai 2026
Épuisement des directeurs d’EHPAD : l’enquête Fnadepa 2026 interpelle les tutelles
QVT & Prévention du burnout Épuisement des directeurs d’EHPAD : l’enquête Fnadepa 2026 interpelle les tutelles 12 mai 2026
Doll therapy en EHPAD : guide pratique pour instaurer la médiation par la poupée
Maladies neurodégénératives & Alzheimer Doll therapy en EHPAD : guide pratique pour instaurer la médiation par la poupée 11 mai 2026
Loi Bien Vieillir : 5 obligations EHPAD à maîtriser avant l’été 2026
Droits des résidents & Bientraitance Loi Bien Vieillir : 5 obligations EHPAD à maîtriser avant l’été 2026 11 mai 2026
Lien copie dans le presse-papier

SOS Ehpad