Thursday, January 8, 2026

TRIBUNE JURIDIQUE - Cybersécurité hospitalière : l’obligation de moyens adaptés et la responsabilité des dirigeants

 Les hôpitaux français sont soumis à une obligation de moyens renforcée en matière de protection des soins. Lorsque le risque cyber devient connu, documenté, prévisible et répétitif, ne pas déployer des moyens proportionnés et adaptés à la menace réelle cesse d’être un aléa : cela devient un manquement potentiel à la gouvernance des soins.

Contrairement aux risques incendie, électriques ou radiologiques, où la prévention est structurelle, obligatoire et auditée, le cyber-risque est encore trop souvent traité comme un empilement d’outils IT réactifs, incapables d’agir avant la compromission, notamment lorsque les attaques exploitent des flux chiffrés et des API légitimes – les mêmes canaux que l’activité normale de l’hôpital.

Or, la jurisprudence moderne et les doctrines de l’ANSSI convergent :
Un dirigeant hospitalier n’est pas uniquement responsable de la disponibilité des systèmes, mais de la continuité des soins qu’ils supportent.

Aujourd’hui, une attaque qui paralyse un hôpital n’est pas une panne informatique : : c’est une rupture de soins, engageant potentiellement :

  • la responsabilité éthique et juridique des dirigeants,
  • la sécurité des patients,
  • la conformité réglementaire,
  • l’audibilité des mesures prises,
  • et la capacité à prouver que les moyens mis en œuvre étaient adaptés au risque connu.

Ce qui est attendu désormais :

  1. Prévenir avant de détecter,
  2. Observer et maîtriser les flux chiffrés en périphérie (edge),
  3. Protéger les dispositifs médicaux non modifiables sans agents,
  4. Éviter toute dépendance cloud non maîtrisée,
  5. Produire des preuves exploitables par les autorités et assureurs,
  6. Déployer une architecture de prévention, non intrusive,
  7. et faire du cyber-risque un sujet de gouvernance des soins, pas d’IT.

En matière de soins, ne plus agir n’est pas neutre.
C’est un choix qui engage.

Patrick Houyoux LL.M.
Master en droit – ULB & Trinity College Cambridge, UK
Expert en cybersécurité — Président & Fondateur, PT SYDECO

#Cybersécurité #Hôpital #SantéPublique #ResponsabilitéDesDirigeants

#ObligationDeMoyens #GouvernanceHospitalière #ContinuitéDesSoins

#SécuritéDesPatients #ANSSI #GHT #ConformitéRéglementaire

#SoinsAvantIT #FluxChiffrés #ProtectionEdge #SouverainetéNumérique

#RisqueCyber #PreuveEtAudit #InteropérabilitéSécurisée #HIS #EHR

at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)

L’intelligence sans propriétaire

Une réflexion métaphysique à l’ère de l’intelligence artificielle Texte original en Français Introduction  Depuis plusieurs décennies, l’int...