Sur la base des travaux de recherche du Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann

C’est un scénario qui, il y a dix ans à peine, aurait ressemblé à de la science-fiction : un hacker appuie sur une touche, et une clinique comptant des centaines de patients ne peut plus pratiquer d’opérations, consulter de résultats de laboratoire ni faire fonctionner ses urgences. Aujourd’hui, c’est une amère réalité – et elle fait des victimes humaines.

Les hôpitaux figurent parmi les cibles les plus attractives au monde pour les attaquants par ransomware. Les raisons en sont cyniquement simples : les cliniques dépendent de manière existentielle de leur informatique, disposent souvent d'infrastructures obsolètes, et leur mission de soins génère une pression maximale pour réagir rapidement – au besoin en payant la rançon. Teichmann a analysé méthodiquement les dimensions juridiques, éthiques et organisationnelles de cette menace dans plusieurs publications. Les conclusions sont alarmantes.

L’ampleur de la menace : des chiffres qui font réfléchir

Rien qu’en 2022, les trois quarts des établissements de santé en Allemagne ont été victimes de cyberattaques. Selon l’Office fédéral de la sécurité des technologies de l’information (BSI), le ransomware est actuellement la plus grande menace individuelle dans le secteur de la santé. Le BSI qualifie le niveau de risque d’historiquement élevé (Teichmann, Cyberangriffe auf Kliniken: Patientengefährdungen, rechtliche Pflichten und ethische Herausforderungen, Ethik in der Medizin 2026, p. 1–23).

Les premières études menées aux États-Unis indiquent que la mortalité hospitalière peut augmenter de 20 à 35 % lors d'une cyberattaque majeure – en raison des retards de traitement, de la défaillance des systèmes de surveillance et de la perte de données médicales critiques. Un tiers des cyberattaques contre les établissements de santé ont un impact significatif ou du moins perceptible sur la prise en charge des patients : des opérations sont reportées, des traitements interrompus, et des patients urgents réorientés (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Il ne s’agit pas de statistiques abstraites. Derrière chacun de ces chiffres se cachent des vies humaines.

Le cas de Düsseldorf 2020 : quand une cyberattaque entraîne un décès

Aucun événement n’illustre de manière aussi poignante la dimension mortelle des attaques par ransomware contre les hôpitaux que l’attaque subie par la clinique universitaire de Düsseldorf en septembre 2020.

Pendant des mois, des attaquants avaient exploité une faille de sécurité connue dans un logiciel VPN pour s’infiltrer profondément dans le réseau de la clinique. Le 10 septembre 2020, ils sont passés à l'action : le ransomware DoppelPaymer a presque entièrement chiffré les systèmes informatiques de l'établissement. Les urgences ont dû être fermées. Pendant plus de 13 jours – une durée sans précédent pour un hôpital de soins de recours – aucun patient d’urgence n’a pu être admis. Des centaines d’opérations et d’interventions ont été annulées (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Ce soir-là, une femme de 78 ans souffrant d’un anévrisme aortique menaçant le pronostic vital n’a pas pu être admise à Düsseldorf. L’ambulance a dû la transporter à Wuppertal, située à environ 30 kilomètres de là. Le temps perdu a été fatal. La patiente est décédée peu après son admission.

Le parquet de Düsseldorf a ouvert une enquête pour homicide par négligence – c’était la première fois en Allemagne que l’on examinait si une cyberattaque était la cause directe d’un décès. L'enquête a finalement été classée sans suite, le lien de causalité ne pouvant être établi avec la certitude requise. La portée symbolique de l'affaire n'en est pas moins restée forte : les cyberattaques contre les hôpitaux peuvent tuer (Teichmann, IT-Sicherheit im Krankenhaus – Neue Pflichten durch IT-SiG 2.0, KRITIS-Dachgesetz und § 391 SGB V, MedR 2025, p. 959–968).

Un rebondissement notable dans cette affaire : lorsque les hackers ont réalisé qu’ils avaient touché un hôpital – et non, comme prévu initialement, la seule université de tutelle –, ils ont volontairement fourni une clé de déchiffrement et ont renoncé à leur demande de rançon. Cet affaire montre que même les cybercriminels ont parfois des limites morales. Le mal, cependant, était déjà fait.

Comment les attaquants ciblent les hôpitaux

Les attaques par ransomware contre les établissements de santé suivent un modèle parfaitement industrialisé. Des groupes de criminels hautement professionnels se répartissent les tâches : les « Initial Access Brokers » s’introduisent d’abord dans les réseaux via des e-mails d’hameçonnage, des logiciels non mis à jour ou des identifiants volés, puis revendent cet accès sur le darknet. Les véritables opérateurs de ransomwares prennent ensuite le relais pour procéder au chiffrement et à l’extorsion (Teichmann, Ransomware-Angriffe auf Krankenhäuser – Strafrechtliche, Medizinrechtliche und Datenschutzrechtliche Herausforderungen, Zeitschrift für Lebensrecht 2025, p. 349–366).

La technique de la « double extorsion » est de plus en plus fréquente : avant le chiffrement, les données des patients sont exfiltrées. Les criminels menacent alors non seulement de bloquer les systèmes, mais aussi de publier des données de santé hautement sensibles – un moyen de pression qui reste efficace même si la clinique dispose de sauvegardes fonctionnelles.

Pourquoi les hôpitaux sont-ils des cibles si attractives ? La dépendance vis-à-vis de l'informatique y est existentielle et menace directement les patients. De nombreux hôpitaux fonctionnent avec des paysages informatiques hétérogènes, parfois obsolètes, où les correctifs et les mises à jour n'ont jamais été appliqués rigoureusement. De plus, la pression morale pour retrouver rapidement un fonctionnement normal fait des cliniques des victimes comparativement enclines à payer. Les attaquants professionnels calculent donc délibérément le montant de la rançon pour qu'il soit juste en dessous du coût estimé d'une restauration manuelle des données (Teichmann, Zeitschrift für Lebensrecht 2025, p. 349–366).

Le cadre des obligations juridiques : ce que les hôpitaux doivent faire aujourd’hui

L’Allemagne a réagi à cette menace croissante en élargissant considérablement les obligations de sécurité légales.

Les plus grands hôpitaux sont considérés comme des opérateurs d’infrastructures critiques (KRITIS) et sont soumis à la loi sur le BSI. Ils doivent prendre des mesures de protection techniques et organisationnelles appropriées, conformes aux règles de l’art, les faire auditer tous les deux ans et signaler immédiatement au BSI tout incident informatique majeur. Le respect de ces directives fait l'objet d'un contrôle actif (Teichmann, MedR 2025, p. 959–968).

Depuis le 1er janvier 2022, l'article 391 du code de la sécurité sociale allemand (SGB V) impose une obligation élargie : désormais, tous les hôpitaux – même ceux situés en dessous du seuil KRITIS – doivent mettre en œuvre des mesures de cybersécurité adaptées aux règles de l'art et actualiser leurs systèmes au moins tous les deux ans. Le législateur a explicitement recommandé de s'aligner sur les standards KRITIS du BSI. De fait, c’est un niveau de sécurité uniforme qui s’applique à l’ensemble du secteur de la santé (Teichmann, MedR 2025, p. 959–968).

En parallèle s'appliquent les exigences du RGPD. Les données des patients sont des données de santé particulièrement sensibles. Les cliniques victimes d'une violation de données suite à une cyberattaque doivent la notifier à l'autorité de contrôle compétente dans les 72 heures et, le cas échéant, en informer les patients concernés. Les amendes peuvent atteindre jusqu’à 20 millions d’euros ou quatre pour cent du chiffre d'affaires annuel mondial. Les premiers hôpitaux en Europe ont déjà été condamnés à des sanctions sévères (Teichmann, Interdisziplinäre Aspekte der IT-Sicherheit im Gesundheitswesen, medstra 2025, p. 218–222).

Responsabilité : quand les dirigeants d’hôpitaux sont-ils personnellement mis en cause ?

Teichmann pose une question qui dérange de nombreux dirigeants d'établissements de santé : les directeurs ou les médecins-chefs peuvent-ils être tenus personnellement responsables en cas de cybersécurité insuffisante si des patients subissent des préjudices ?

La réponse est : oui, en principe. Sur le plan pénal, des délits de négligence tels que l'homicide par négligence ou les blessures corporelles par négligence pourraient s'appliquer s'il est prouvé que des manquements graves en matière de sécurité informatique ont causé un préjudice à un patient. La référence serait alors les normes de sécurité en vigueur : exigences du BSI, article 391 du SGB V, normes de sécurité reconnues du secteur. Quiconque laisse des failles de sécurité connues sans correction pendant des mois ou réduit systématiquement les budgets de cybersécurité et subit ensuite une attaque évitable s'expose à un reproche de manquement à ses obligations (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Sur le plan civil, le principe de la responsabilité organisationnelle s'applique : les cliniques doivent à leurs patients une organisation des services conforme aux normes de sécurité actuelles. Aujourd’hui, cela inclut la sécurité informatique. De plus, le RGPD impose une règle de charge de la preuve défavorable : en cas de litige, c’est à l’hôpital de prouver qu’il a pris toutes les mesures de protection raisonnables. S'il n’y parvient pas, il est responsable du préjudice moral subi par les patients concernés (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Aucun directeur d’hôpital en Allemagne n’a encore été condamné au pénal suite à un cyberincident. Néanmoins, Teichmann estime que ce n’est qu’une question de temps. La tendance juridique est claire : la sécurité informatique relève de la direction générale – et l’inaction n'est plus une option.

Le dilemme éthique : peut-on payer une rançon pour protéger les patients ?

Les attaques par ransomware contre les hôpitaux placent les décideurs face à un dilemme moral particulièrement aigu. D’un côté, les autorités et les experts déconseillent fermement de payer des rançons, car chaque paiement finance le modèle économique des attaquants et encourage de nouvelles attaques. De l’autre côté, des vies sont en jeu.

Teichmann analyse ce dilemme en s’appuyant sur les principes classiques de la bioéthique : la non-malfaisance, la bienfaisance, la justice et l’autonomie (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Le principe de non-malfaisance se heurte à une contradiction interne : ne pas payer peut entraîner un dommage évitable pour les patients actuels. Payer soutient la criminalité et encourage de futures attaques qui mettront en danger d'autres patients. Un dommage immédiat et certain se confronte à un dommage indirect mais diffus.

Le principe de bienfaisance semble au premier abord plaider en faveur d'un paiement – si c’était effectivement le moyen le plus rapide de rétablir les services. Cependant, là encore, le paiement n'est pas une garantie. De nombreux hôpitaux ayant payé signalent des déchiffrements incomplets ou même de nouvelles attaques par le même groupe de pirates.

Teichmann ne propose pas de formule simple, car elle n'existe pas. Sa recommandation consiste plutôt à mettre en œuvre une prévention rigoureuse afin que cette décision n'ait pas à être prise en cas d'urgence. Disposer de sauvegardes hors ligne fonctionnelles, connaître et tester les plans d'urgence, et segmenter les réseaux permet d'éviter d'être soumis au chantage – du moins pas totalement (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Ce que l’attaque WannaCry contre le NHS britannique a démontré

L'attaque WannaCry de mai 2017, qui a durement touché le National Health Service (NHS) britannique, constitue un cas d’étude de référence à l'échelle internationale. En quelques jours, des milliers de rendez-vous et d’opérations ont été annulés ; dans cinq régions d’Angleterre, les urgences ont été temporairement incapables d'accueillir des patients, obligeant les ambulances à effectuer des trajets nettement plus longs (Teichmann, Ethik in der Medizin 2026, p. 1–23).

Le NHS n'avait pas installé le correctif qui aurait comblé la faille de sécurité Windows exploitée – alors que celui-ci était disponible depuis des mois. Le résultat : une urgence sanitaire nationale qui aurait pu être évitée grâce à une simple mise à jour de routine non effectuée.

Cette leçon reste valable aujourd’hui : les attaques les plus dangereuses ne reposent souvent pas sur des exploits ultra-sophistiqués, mais sur l’exploitation pure et simple de vulnérabilités connues et non corrigées. Ce n’est pas un problème technique, mais une question d’organisation et de culture managériale.

Ce que les directions d’hôpitaux doivent faire dès maintenant

À partir de ses analyses juridiques et éthiques, Teichmann formule des recommandations d’action concrètes (Teichmann, Ethik in der Medizin 2026, p. 1–23 ; id., MedR 2025, p. 959–968).

Les mises à jour de sécurité doivent être traitées comme une priorité absolue de l’établissement – et non comme une tâche informatique de routine qu’on peut repousser en cas de besoin. Les vulnérabilités connues ne doivent pas rester ouvertes pendant des mois. Les sauvegardes ne doivent pas seulement exister, elles doivent être conservées de manière isolée (hors ligne), testées régulièrement et vérifiées pour s’assurer de leur capacité réelle de restauration. Les plans d’urgence permettant un fonctionnement au moins partiel de la clinique sans outil informatique – procédures papier, canaux de communication redondants, concepts de repli régionaux – ne sont pas des formalités, mais des mesures de préparation vitales.

La segmentation du réseau est l’une des mesures de protection techniques les plus efficaces : si les systèmes critiques tels que le monitorage des soins intensifs, le laboratoire et l'informatique administrative sont isolés les uns des autres, un attaquant compromettant un service ne pourra pas paralyser immédiatement l'ensemble de la clinique. La formation du personnel à la détection du phishing et de l’ingénierie sociale permet de combler la faille humaine que les seules mesures techniques ne peuvent résoudre.

Enfin, la direction générale doit inscrire régulièrement ces sujets à l’ordre du jour. Les rapports sur la sécurité informatique doivent être présentés lors des réunions de direction, et pas seulement rester au sein du service informatique.

Conclusion : la sécurité des patients et la cybersécurité sont indisociables

Les recherches de Teichmann mènent à une conclusion évidente : la sécurité des patients et la sécurité des systèmes informatiques sur lesquels reposent leurs soins sont désormais indissociables. Les hôpitaux qui investissent dans la sécurité informatique investissent dans la protection des patients. Les hôpitaux qui la négligent mettent des vies humaines en danger – et exposent de plus en plus personnellement leurs dirigeants.

Les obligations légales sont aujourd’hui bien définies en Allemagne. Ce qui manque encore en de nombreux endroits, c'est l'ancrage culturel : faire de la cybersécurité une priorité de la direction, une obligation éthique et une composante du devoir de diligence médicale. Le cas de Düsseldorf en 2020 a été un signal d'alarme. Reste à savoir combien d'autres avertissements seront nécessaires pour que ce message soit partout compris.

Toutes les sources citées font référence à des publications scientifiques du Dr. iur. Dr. rer. pol. Fabian M. A. Teichmann. La bibliographie complète est documentée dans la liste des publications (état en mai 2026).