La cybersécurité pour les secteurs médico-social et social

Pour protéger votre structure face à la recrudescence des cyberattaques

L’utilisation croissante de services numériques par les structures médico-sociales et sociales s’est fortement accélérée ces dernières années, notamment au travers de programmes tels que le Ségur du numérique en santé ou ESMS numérique. Dans le même temps, le renforcement de la sécurité numérique est devenu une priorité pour contrer la cybermalveillance.

Afin de préserver la confiance des professionnels et des usagers dans l’usage des outils numériques, et d’assurer la continuité des activités, il est indispensable de mettre en place des moyens de prévention des risques, de détection des menaces et de réaction aux incidents.   

 

Le risque cyber en quelques chiffres

204 déclarations d'incidents pour les ESMS en 2025 (+33% par rapport à 2024)

113 incidents d'origine malveillante en 2025 (+17% par rapport à 2024)

19 interventions du CERT Santé en 2025

Consultez le dernier rapport des incidents cyber

Observatoire des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médicosocial - Rapport public 2024 du CERT Santé

(pdf - 1.39 Mo)

Panorama de la cybermenace 2025 - ANSSI

(pdf - 8.8 Mo)

Les premières actions à mettre en place dans votre structure

Votre guide cyber en 13 questions

Ce guide, indispensable pour débuter, présente, en treize questions, des mesures accessibles pour une protection globale de votre structure.

Accédez au guide

Les premières actions à mettre en place dans votre structure

Consultez le replay du webinaire "La cybersécurité dans le médico-social : quelles premières actions mettre en place ? "

Ce webinaire s'adresse particulièrement aux structures du médico-social ainsi qu'aux ARS et GRADeS qui souhaiteraient prendre connaissance des premières actions à mener sur la cybersécurité et entendre des témoignages de structures engagées dans la démarche.

Découvrez comment l'ANS vous accompagne

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7 destiné aux établissements de santé et aux centres de radiothérapie.

Des offres de formation dédiées

En vous connectant à notre plateforme de formation, vous trouverez de courtes vidéos pédagogiques sur la thématique cyber et des parcours de formation associés.

Candidatez à l'appel à projets CaRE dans votre secteur !

Dans le cadre de la stratégie nationale de cybersécurité en santé, l’ANS déploie un appel à projets pour accompagner les structures du secteur médico‑social dans l’amélioration progressive de leur niveau de cybersécurité, en tenant compte de la diversité de leurs organisations, de leurs usages numériques et de leur maturité cyber.

Limité à 21 structures lauréates, l'objectif est de tester différents parcours adaptés aux niveaux de maturité des établissements, d’en tirer des retours d’expérience opérationnels et de préparer les itérations suivantes. L’appel à projets est conçu selon une trajectoire itérative, avec une montée en charge progressive du dispositif jusqu’en 2027, afin de permettre à un nombre croissant de structures de bénéficier d’un accompagnement et de financements adaptés. 

Consultez l'appel à projets

Besoin d'être accompagné dans votre région ?

Découvrez le rôle des Centres Régionaux de Ressources Cyber (CRRC)

Les Centres Régionaux de Ressources Cyber (CRRC)

Les CRRC ont été mis en place par chaque région dans l'objectif d’accompagner les ESMS, notamment, dans la réalisation des exercices de crise et des diagnostics cyber, et dans le renforcement de la maturité cyber.

Réaliser des exercices de crise pour mieux vous préparer

Anticipez et préparez-vous à la survenue de cyberattaques, et identifiez les points critiques de réaction à améliorer : alerte, communication, coordination des activités, etc. En réalisant régulièrement des exercices de crise, les équipes seront mieux sensibilisées aux risques et cela vous permettra de gagner en assurance sur ces missions stratégiques pour votre structure.

🎬Découvrez dans ce webinaire les étapes clés d'un exercice de crise cyber réussi dans une structure médico-sociale.

Téléchargez le support de présentation

Réaliser des exercices de crise pour mieux vous préparer

Anticipez et préparez-vous à la survenue de cyberattaques, et identifiez les points critiques de réaction à améliorer : alerte, communication, coordination des activités, etc. En réalisant régulièrement des exercices de crise, les équipes seront mieux sensibilisées aux risques et cela vous permettra de gagner en assurance sur ces missions stratégiques pour votre structure.

🎬Consultez ce témoignage vidéo de la Ligue Havraise et de la région Normandie.

Des outils à votre disposition

Vous pouvez vous appuyer sur les kits d’aide à la réalisation d’exercices de gestion de crise spécifique au secteur médico-social, prêts à l’emploi.

Chaque kit est composé de documents de communication, pour les participants et pour l’animateur, et comprennent un déroulé des scénarios d’exercice (ou « chronogramme »).

Une présentation complète des kits est disponible et a fait l'objet du dernier webinaire d'avril 2025 que vous pouvez revoir en replay ci-contre👉.

Télécharger le kit d'exercice de crise

L'Observatoire Permanent de la Sécurité des Systèmes d’Information dans le médico-social (OPSSIMS)

Un outil clé en main pour réaliser un état des lieux complet et évaluer la maturité cyber des ESSMS

L'OPSSIMS est un outil sous la forme de questions qui permet aux structures sociales et médico-sociales d'évaluer leur niveau de risque et de maturité relatif à la sécurité de leur système d’information. 

Il a vocation à combler un manque de visibilité sur le niveau de maturité des ESMS en termes de sécurité des systèmes d’information. Cet observatoire est complémentaire à certains dispositifs déjà existants dans le secteur médico-social comme le référentiel de maturité numérique MaturiN-SMS.   

Suite à une première phase pilote réalisée fin 2024 et à laquelle ont participé des régions et des organismes gestionnaires, le contenu de l'OPSSIMS a été reformulé et simplifié fin 2025. La version publiée le 26/01/2026 intègre ces mises à jour. Un guide d'aide au renseignement de l'outil est venu compléter la documentation à disposition des structures.

Téléchargez l'outil

Mettez en œuvre un Plan de Continuité et de Reprise d’Activité (PCRA)

Le Plan de continuité et de reprise d'activité (PCRA) est un outil de gestion de crise qui permet d'assurer la continuité et la reprise d'activité suite à la survenue d'une crise, telle qu'une cyberattaque, provoquant une indisponibilité des ressources.  

Un kit PCRA adapté aux besoins du secteur médico-social a été produit dans le cadre d’un phase pilote menée courant 2024 auprès de plusieurs organismes gestionnaires (Adef Résidences, APF France Handicap, IRSAM et Aidera.Var) représentatifs des secteurs Personnes Agées, Personnes en situation de handicap et Domicile.  

Téléchargez le kit PCRA

Comment sensibiliser les professionnels de ma structure ?

Mettez en place des actions régulières en interne pour sensibiliser votre personnel : charte informatique, diffusions régulières de bonnes pratiques, newsletters, formations courtes, etc. Pour cela, retrouvez toutes les informations utiles dans le kit de communication cyber.

Téléchargez le  kit de communication cyber

Liens utiles

Découvrez l'ensemble des actions du programme CaRE
En savoir plus sur la transformation numérique dans le secteur médico-social 
Consultez les FAQ cyber pour votre secteur
Consultez le Portail Cyberveille du CERT Santé
Consultez le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
Contactez le service 17Cyber (dispositif de signalement et d'orientation cyber)

Découvrez les webinaires à ne pas manquer!