Conseil en Gestion de Crise & Résilience Opérationnelle

Résilience hospitalière : comment les établissements de santé font face aux crises

Un hôpital ne s'arrête jamais. Cyberattaque, rupture d'approvisionnement, inondation, panne électrique, attentat : les établissements de santé sont exposés à des crises dont les conséquences peuvent être immédiatement vitales. La résilience hospitalière est aujourd'hui devenue une obligation opérationnelle, réglementaire et éthique.
résilience hôpital
3 825 Déclarations de ruptures ou risques de ruptures de médicaments à l'ANSM en 2024 — Ministère de la Santé, mars 2025
10% Des incidents cyber traités par l'ANSSI en 2025 ciblaient le secteur santé, en hausse par rapport à 2024 — ANSSI, mars 2026
1,7% Du budget hospitalier consacré au numérique, contre 9% dans le secteur bancaire — Cour des comptes, 2025

Un hôpital ne ferme pas. Il ne met pas la clé sous la porte quand la crise arrive, il ne peut pas décaler ses urgences au lendemain ni reporter ses blocs opératoires le temps que la situation se normalise. C'est précisément ce qui le rend si exigeant en matière de résilience - et si vulnérable quand celle-ci fait défaut.

Les menaces qui pèsent sur un établissement de santé ne se résument pas aux cyberattaques, même si ces dernières concentrent aujourd'hui l'attention. La résilience hospitalière recouvre un spectre bien plus large : rupture d'approvisionnement en médicaments ou en dispositifs médicaux, panne d'alimentation électrique prolongée, inondation ou événement climatique extrême, incendie, attentat, pandémie, tension sociale interne. Chacun de ces scénarios a une probabilité d'occurrence réelle et des conséquences potentiellement graves sur la continuité des soins.

Ce que les dernières années ont montré avec une clarté croissante, c'est que la résilience d'un hôpital ne se mesure pas à l'absence d'incidents - elle se mesure à sa capacité à continuer à soigner malgré eux. Les incidents récents en fournissent le contexte le plus éloquent.

Nov. 2019
Rouen
Ransomware sur le CHU de Rouen. Les serveurs chiffrés en une nuit. Retour au papier pour l'ensemble des services. Trois semaines pour retrouver un fonctionnement proche de la normale. Coût estimé : plusieurs millions d'euros. Premier grand CHU français touché - le signal d'alarme que beaucoup n'ont pas entendu.
Fév. 2021
Dax
Le Centre Hospitalier de Dax paralysé par un ransomware. Imagerie hors service, dossiers patients inaccessibles, transferts de patients vers d'autres établissements. Le ministre de la Santé se déplace. Le gouvernement annonce 25 millions d'euros pour renforcer la cybersécurité des hôpitaux. L'argent arrive, les attaques aussi.
Déc. 2022
Versailles
Cyberattaque sur le Centre Hospitalier de Versailles, dont l'hôpital André-Mignot. Le groupe Lockbit revendique. Des patients en soins critiques transférés vers d'autres hôpitaux d'Ile-de-France. Des opérations reportées. Le SI est reconstruit pendant plusieurs mois.
Août 2023
Paris
Cyberattaque sur le CH de Corbeil-Essonnes. Les attaquants publient des données de patients sur le darkweb après refus de payer la rançon. 10 Go de données sensibles exposées. Un rappel brutal : la résilience ne se limite pas à redémarrer les serveurs - elle inclut la gestion des données exfiltrées.
Juin 2024
Londres
Ransomware du groupe Qilin sur Synnovis, prestataire de biologie pour plusieurs hôpitaux du NHS londonien. King's College Hospital, Guy's and St Thomas' : des milliers d'opérations reportées, la transfusion sanguine perturbée. Le prestataire était la cible, les hôpitaux ont subi. La chaîne de dépendance, pas les établissements eux-mêmes, était le maillon faible.
Jan. 2026
Belgique
Cyberattaque sur l'hôpital belge AZ Monica. L'ensemble des systèmes arrêtés le 7 janvier. Une semaine plus tard, l'établissement ne fonctionne qu'à moitié. Premier incident hospitalier majeur documenté en Europe pour 2026 - et probablement pas le dernier.
Nov. 2023
Île-de-France
Tempête Ciaran : plusieurs établissements de santé franciliens sont confrontés à des coupures d'alimentation électrique prolongées. Les groupes électrogènes de secours, sous-dimensionnés ou insuffisamment entretenus, ne couvrent pas l'ensemble des équipements critiques. Blocs opératoires, réanimations et unités de soins intensifs fonctionnent en mode dégradé. L'incident révèle la dépendance des hôpitaux à une alimentation électrique continue et la fragilité des dispositifs de secours.
Juin 2024
Allemagne
Inondations dans le sud de l'Allemagne (Bavière, Bade-Wurtemberg). Plusieurs établissements de santé sont évacués ou isolés. Des patients en soins aigus sont transférés en urgence. Les voies d'accès coupées ralentissent les approvisionnements en médicaments et matériels médicaux. L'incident illustre la vulnérabilité des hôpitaux situés en zone inondable et l'insuffisance des plans de continuité face aux aléas climatiques extrêmes.
Nov. 2015
Paris
Attentats du 13 novembre : les hôpitaux parisiens activent le plan blanc en urgence absolue. L'AP-HP reçoit des centaines de victimes en quelques heures. Si la réponse médicale est saluée, l'épisode révèle des tensions critiques sur les stocks de sang, les capacités chirurgicales et la coordination avec les secours. Il reste la référence française en matière de gestion hospitalière d'un attentat de masse - et le socle à partir duquel les exercices "AMAVI" (Afflux Massif de Victimes) ont été structurés.
Ce que ces incidents ont en commun

Qu'il s'agisse d'une cyberattaque, d'une panne électrique, d'une inondation ou d'un attentat, la nature de l'événement déclencheur importe moins que la capacité de l'établissement à y répondre. Dans chacun de ces cas, ce qui a fait la différence - en bien ou en mal - c'est l'existence de plans connus, de rôles attribués et d'équipes capables de décider sous pression. La résilience hospitalière ne se construit pas au moment de la crise.

Ce que la résilience hospitalière recouvre vraiment

Les établissements de santé disposent en général d'une série de plans : plan blanc, plan de continuité d'activité, plan de reprise informatique, plan de gestion des tensions hospitalières. Ces documents existent. Ils sont souvent rédigés avec soin, validés par les autorités, classés dans un tiroir.

La résilience, ce n'est pas ça. C'est la capacité réelle de l'organisation à tenir dans la durée face à une rupture - quelle qu'en soit la nature. Elle suppose que les équipes connaissent les plans, qu'elles les ont pratiqués, qu'elles savent exactement quoi faire quand le système tombe à 3h du matin un dimanche.

Il faut distinguer quatre niveaux de réponse que les établissements confondent souvent :

Le plan blanc est un dispositif de gestion de l'afflux massif de victimes. Il mobilise les ressources humaines et matérielles de l'établissement pour faire face à un afflux exceptionnel de patients. Il ne traite pas des crises internes - panne, cyberattaque, incendie.
Le PCA (Plan de Continuité d'Activité) définit comment l'établissement maintient ses fonctions essentielles quand ses ressources habituelles - systèmes d'information, approvisionnements, locaux - ne sont plus disponibles. C'est le document le plus directement utile en cas de cyberattaque ou de sinistre.
Le PRA (Plan de Reprise d'Activité) définit les étapes et le calendrier pour reconstruire les systèmes et processus après un incident. Il est complémentaire du PCA - l'un gère la crise, l'autre organise le retour à la normale.
La résilience systémique est la capacité de l'ensemble de l'organisation - direction, médecins, soignants, administratifs - à s'adapter, à improviser et à maintenir la qualité des soins dans un environnement dégradé. Elle ne s'écrit pas, elle se construit par la culture, la formation et l'exercice.
Le vrai problème

La plupart des établissements ont des plans. Peu d'entre eux ont des équipes qui les connaissent, encore moins des équipes qui les ont pratiqués. Un plan non exercé est un plan qui échouera le jour où on en aura besoin.

Le cadre réglementaire : OIV, PSO et directive REC

La résilience hospitalière n'est plus seulement une bonne pratique managériale. C'est une obligation juridique pour un nombre croissant d'établissements, et un horizon réglementaire qui se rapproche pour tous les autres.

Les établissements désignés OIV. En France, certains établissements de santé sont désignés Opérateurs d'Importance Vitale (OIV) au titre du secteur Santé. Cette désignation, confidentielle, impose des obligations précises : élaboration d'un Plan de Sécurité de l'Opérateur (PSO) validé par l'autorité de tutelle, réalisation d'audits de sécurité périodiques, mise en place de systèmes de détection d'incidents, et organisation d'exercices de crise selon un calendrier imposé. Le PSO est le document central de la démarche OIV : il identifie les activités d'importance vitale, les points d'importance vitale (PIV) qui les soutiennent, les menaces pesant sur ces points, et les mesures prises pour y faire face.

La directive REC et le secteur santé. La directive européenne REC (Resilience of Critical Entities), transposée en droit français, étend les obligations de résilience au-delà du périmètre OIV historique. Le secteur de la santé figure explicitement parmi les secteurs critiques visés. Des établissements qui n'étaient pas soumis au régime OIV se trouvent désormais dans le champ de la directive, avec des obligations nouvelles en matière d'analyse des risques, de plans de résilience et de notification des incidents.

Concrètement, la directive REC impose aux entités du secteur santé qu'elle identifie comme critiques de :

Réaliser une analyse des risques couvrant l'ensemble des menaces - physiques, cyber, climatiques, sanitaires - susceptibles d'affecter la continuité du service essentiel.
Adopter des mesures techniques et organisationnelles pour prévenir les incidents, en atténuer l'impact et assurer la continuité des soins malgré la perturbation.
Notifier les incidents significatifs à l'autorité compétente dans des délais définis - sans attendre que la crise soit résolue.
Organiser des exercices de résilience pour vérifier que les dispositifs prévus fonctionnent réellement en conditions dégradées.
Dispositif Qui est concerné Obligations principales
OIV / PSO Établissements désignés OIV secteur Santé (liste confidentielle) PSO validé, audits périodiques, systèmes de détection, exercices imposés
Directive REC Entités critiques secteur santé identifiées par l'État Analyse des risques, mesures de résilience, notification des incidents, exercices
NIS 2 Établissements de santé selon leur taille et leur criticité Mesures de cybersécurité, gestion des incidents, notification ANSSI sous 24h
HDS (Hébergement Données de Santé) Tout établissement hébergeant des données de santé à caractère personnel Certification obligatoire, contrôles de sécurité, PCA documenté
Ce que cela signifie en pratique

Que votre établissement soit ou non désigné OIV, le cadre réglementaire se resserre. La directive REC et NIS 2 élargissent le périmètre des obligations. Attendre d'être formellement désigné pour se préparer, c'est s'exposer à devoir rattraper en urgence ce qui aurait dû être construit dans la durée.

Les vulnérabilités spécifiques du secteur hospitalier

Les hôpitaux présentent un profil de vulnérabilité singulier. Ils concentrent des données parmi les plus sensibles qui soient - les données de santé - sur des systèmes d'information qui n'ont pas été conçus pour résister aux attaques modernes. Ils dépendent de chaînes d'approvisionnement complexes. Et ils fonctionnent sous une pression permanente qui laisse peu de marge pour la préparation.

Des systèmes d'information obsolètes et hétérogènes. Beaucoup d'établissements font coexister des dizaines de logiciels métiers différents, souvent anciens, interconnectés de façon artisanale. Cette complexité rend la sécurisation difficile et la propagation d'une attaque rapide.
Une dépendance critique aux fournisseurs externes. Médicaments, dispositifs médicaux, énergie, prestations de biologie ou d'imagerie : un hôpital ne produit presque rien lui-même. Une rupture chez un fournisseur peut paralyser une chaîne de soins entière - comme l'a montré l'incident Synnovis à Londres.
Une attractivité forte pour les groupes criminels. Les données de santé se vendent cher sur le darkweb. Les hôpitaux sont perçus comme des cibles qui ne peuvent pas se permettre de ne pas payer - leurs activités sont trop critiques pour supporter une interruption prolongée.
Des ressources humaines sous tension permanente. La charge de travail laisse peu de place à la formation aux procédures de crise. Les équipes qui devront activer le PCA au moment de l'incident ne l'ont souvent jamais lu.
Une surface d'exposition étendue. Des milliers d'équipements connectés - moniteurs, pompes, imageurs - dont beaucoup ne peuvent pas être mis à jour sans validation réglementaire. Chacun est une porte d'entrée potentielle.

Construire un dispositif de crise adapté

La résilience hospitalière se construit avant la crise. Ce qui se met en place dans l'urgence est toujours insuffisant, toujours plus coûteux et toujours moins efficace que ce qui a été préparé à froid.

Un dispositif de crise hospitalier efficace repose sur quatre piliers.

Une cellule de crise constituée et connue. Composition définie, rôles attribués, procédures d'activation documentées. La cellule réunit la direction, le président de CME, le RSSI, la direction des soins, la direction des achats et la communication. Elle doit pouvoir s'activer en moins d'une heure, de jour comme de nuit.
Un PCA opérationnel et testé. Le document doit être suffisamment précis pour être utilisable par quelqu'un qui n'en est pas l'auteur, à 3h du matin, sous pression. Il couvre les scénarios les plus probables : cyberattaque, incendie, coupure d'énergie, rupture d'approvisionnement, pandémie.
Une articulation claire avec les acteurs externes. SAMU, pompiers, préfecture, ARS, ANSSI, forces de l'ordre : chaque interlocuteur doit avoir un point de contact identifié dans l'établissement, et réciproquement. Ces relations ne se créent pas pendant la crise.
Des exercices réguliers. Pour les établissements OIV, les exercices sont imposés par le cadre réglementaire. Pour tous les autres, ils sont indispensables. Un exercice annuel sur table - où les équipes de direction jouent un scénario de crise - révèle invariablement des failles que personne n'avait anticipées.

La résilience par le mode dégradé

Le mode dégradé est la réalité quotidienne d'un hôpital en crise. C'est l'ensemble des procédures qui permettent de continuer à soigner quand les systèmes habituels - informatiques, logistiques, humains - ne sont plus disponibles dans leurs conditions normales.

Beaucoup d'établissements découvrent qu'ils n'ont pas de procédures de mode dégradé documentées au moment où ils en ont besoin. Les équipes les plus expérimentées s'en sortent par habitude et débrouillardise. Les équipes plus récentes ou les situations les plus critiques peuvent conduire à des erreurs.

Un mode dégradé efficace couvre au minimum :

Le dossier patient en mode papier. Les formulaires doivent exister, être accessibles physiquement, et les équipes doivent savoir les utiliser. La dématérialisation complète a effacé ces réflexes dans beaucoup d'établissements.
La prescription et la dispensation des médicaments sans SI. La pharmacie doit disposer d'un stock tampon et de procédures de prescription manuscrite validées par la direction médicale.
La communication interne hors réseau. Quand la messagerie et la téléphonie IP tombent avec le SI, comment les équipes communiquent-elles ? Radios, téléphones fixes sur réseau séparé, point de rassemblement physique : ces alternatives doivent être prévues et connues.
La priorisation des soins. En mode dégradé, on ne peut pas tout faire. La direction médicale doit avoir défini à l'avance les critères de priorisation des actes et les procédures de transfert des patients dont la prise en charge ne peut pas être assurée.
Ce que le CHU de Rouen a appris

Après l'attaque de 2019, le CHU de Rouen a documenté et publié son retour d'expérience. L'un des enseignements les plus frappants : les équipes soignantes ont su s'adapter, mais la direction a été prise en défaut sur la communication de crise et la coordination avec les autorités. La résilience opérationnelle des soignants ne remplace pas la résilience institutionnelle de la direction.

Un sujet de direction d'établissement

La résilience hospitalière ne peut pas rester un dossier confié au RSSI ou au responsable qualité. Elle engage des décisions que seule la direction d'établissement est habilitée à prendre - et des arbitrages que seul le directoire peut porter collectivement.

Activer un plan blanc étendu ou un PCA a des conséquences immédiates sur l'organisation des soins, la communication externe et les relations avec les autorités de tutelle. Ces décisions engagent la responsabilité du directeur d'établissement et du président de CME. Elles ne peuvent pas être déléguées à un responsable technique au moment de la crise si elles n'ont pas été préparées ensemble avant.

Les établissements les plus résilients que nous accompagnons partagent une caractéristique : leur direction générale et leur présidence de CME ont co-construit le dispositif de crise. Elles connaissent les scénarios, elles ont participé aux exercices, elles savent ce qu'elles devront décider et dans quel délai. Quand la crise arrive, elles n'apprennent pas - elles agissent.

Pour les établissements soumis au régime OIV, cette implication de la direction n'est pas seulement une bonne pratique - c'est une exigence du PSO. Pour les autres, la directive REC et NIS 2 vont dans le même sens : la résilience est une responsabilité de gouvernance, pas une affaire de service informatique.

En résumé

La résilience d'un hôpital se mesure à sa capacité à continuer à soigner dans des conditions que personne ne souhaite mais que tout le monde doit avoir anticipées. Elle suppose des plans, des équipes formées, des exercices réguliers et une direction qui s'est approprié le sujet bien avant que la crise ne survienne.

Altair Conseil vous accompagne

Notre équipe accompagne les établissements de santé dans la structuration de leur dispositif de résilience - de l'analyse des risques à la formation des équipes de direction, en passant par la rédaction du PSO et l'organisation d'exercices de crise.

  • Diagnostic de maturité et analyse des risques
  • Rédaction et mise à jour du PSO pour les établissements OIV
  • Élaboration et test du Plan de Continuité d'Activité
  • Formation de la cellule de crise hospitalière
  • Exercices de crise sur table et grandeur réelle
  • Accompagnement à la mise en conformité directive REC et NIS 2
Nous contacter