Les hôpitaux et les structures de santé vivent une période de tension numérique inédite. En 2025, les attaques par ransomware ont progressé de près de 30 % dans ce secteur, plaçant la santé au premier rang des cibles les plus affectées à l’échelle mondiale. D’après une étude publiée par Comparitech en octobre 2025, plus de 420 incidents ont été recensés entre janvier et septembre, touchant directement près de 300 établissements de soins. En France, plusieurs agences régionales de santé ont subi des intrusions majeures, entraînant la fuite d’informations sensibles et des interruptions temporaires d’activité. Si le rapport ne détaille pas les vecteurs techniques employés, d’autres analyses – notamment celle de l’ANSSI – montrent que la compromission d’Active Directory constitue fréquemment la première étape de ces intrusions, en offrant aux attaquants un accès étendu aux systèmes internes.
Active Directory, conçu par Microsoft pour centraliser la gestion des identités et des accès, est devenu le cœur d’innombrables infrastructures hospitalières. Il orchestre l’authentification du personnel, le contrôle des ressources réseau et la synchronisation des comptes sur plusieurs systèmes métiers. Cette centralisation, pensée à l’origine pour simplifier la gestion, constitue aujourd’hui un point unique de compromission. Une fois qu’un acteur malveillant obtient un accès privilégié à cet annuaire, il dispose d’une porte ouverte sur l’ensemble du réseau et des services essentiels.
Les attaquants exploitent ce maillon avec une redoutable efficacité. Leur point d’entrée initial repose souvent sur le hameçonnage ciblé, la compromission d’un accès VPN, ou l’exploitation d’un service exposé comme SharePoint ou Outlook Web Access. À partir de là, ils déploient des outils parfaitement légitimes — PowerShell, PsExec, ou les fonctions d’administration natives de Windows — pour explorer et cartographier le domaine. Ces techniques, dites “Living off the Land”, permettent de se fondre dans le trafic normal du système et d’éviter la détection. Une fois les privilèges élevés, l’infrastructure Active Directory devient le levier d’un contrôle total : création de comptes administrateurs, déploiement du rançongiciel à grande échelle, ou effacement des sauvegardes connectées. L’attaque ne touche plus une machine, mais un organisme entier.
Les conséquences sont immédiates et souvent dévastatrices. Un hôpital frappé par une attaque de ce type voit son système d’identité bloqué, empêchant le personnel médical d’accéder aux dossiers patients, aux résultats d’examens ou aux prescriptions électroniques. Les blocs opératoires fonctionnent au ralenti, les urgences doivent recourir au papier et les chaînes logistiques de médicaments se désorganisent. En 2025, un établissement français a vu les données de plus de 750 000 patients mises en vente après la compromission de son réseau. Dans d’autres cas, les attaquants n’ont pas seulement chiffré les systèmes, ils ont exfiltré des fichiers contenant des données médicales hautement sensibles, accentuant les risques de chantage et de violation de la vie privée. L’impact psychologique sur le personnel est lui aussi considérable : au stress des soins s’ajoute celui d’un outil de travail paralysé.
Face à cette réalité, la sécurisation d’Active Directory s’impose comme une priorité absolue. L’authentification multifactorielle demeure la première ligne de défense : elle empêche l’usage d’identifiants volés, qui constituent le vecteur initial de la majorité des attaques. Mais elle ne suffit pas. La mise en œuvre d’une approche “Zero Trust”, fondée sur la vérification systématique de chaque connexion et la segmentation des accès, est désormais indispensable. Les privilèges doivent être limités dans le temps, les comptes de service surveillés, et les journaux d’événements scrutés en continu. L’ANSSI, dans son guide de sécurisation d’Active Directory, recommande de séparer les environnements d’administration, de restreindre les connexions RDP et d’appliquer des politiques d’audit renforcées. Des outils spécialisés, tels que Microsoft Defender for Identity ou CrowdStrike Falcon Identity, permettent de détecter les anomalies comportementales liées aux comptes à privilèges et de bloquer les accès suspects avant qu’ils ne deviennent irréversibles.
La menace n’est pas cantonnée à un pays ni à un type d’établissement. L’ENISA, dans son dernier rapport sur la cybersécurité du secteur de la santé, confirme que cette filière reste la plus ciblée au sein de l’Union européenne. La convergence de la santé numérique, de la télémédecine et des systèmes hospitaliers interconnectés multiplie les surfaces d’attaque. En parallèle, la pénurie de compétences en sécurité et la vétusté de certaines infrastructures informatiques accentuent la vulnérabilité du secteur. Les cybercriminels exploitent cette combinaison de dépendance technologique et de manque de moyens humains, conscients que chaque minute d’interruption pèse lourd dans un hôpital. Les demandes de rançon varient, mais leur logique reste la même : faire pression sur des structures qui ne peuvent pas se permettre l’arrêt de leurs services.
Cette situation soulève des enjeux de gouvernance numérique. Depuis la directive NIS2, les hôpitaux et laboratoires de santé sont classés parmi les “entités essentielles”, tenues d’adopter une gestion rigoureuse des risques, d’assurer la continuité d’activité et de notifier tout incident significatif. Cela suppose une cartographie claire des actifs, des audits réguliers et une surveillance proactive des identités. La résilience numérique n’est plus une option réglementaire, mais une condition de fonctionnement. Le règlement DORA, bien qu’axé sur le secteur financier, inspire aussi les pratiques de résilience applicables à d’autres domaines critiques. Les hôpitaux doivent s’engager dans la même logique : tester leurs capacités de reprise, documenter leurs procédures et anticiper les scénarios de crise.
À plus long terme, la cybersécurité hospitalière passera par une meilleure intégration entre sécurité technique et gouvernance clinique. Les responsables informatiques et les directions médicales doivent parler un même langage, celui de la continuité des soins. Les identités numériques ne sont pas qu’un enjeu de sécurité : elles conditionnent la confiance dans le système de santé tout entier. Investir dans la protection d’Active Directory, dans la supervision des accès et dans la sensibilisation du personnel, c’est protéger bien plus que des données : c’est protéger des vies. La résilience du secteur dépendra de cette prise de conscience collective, où chaque acteur – du technicien au praticien – participe à la défense numérique de l’hôpital.
