L'Assistance Publique-Hôpitaux de Paris (AP-HP) soigne chaque année environ 10 millions de patients sur 39 établissements, emploie 100 000 personnes et manipule des flux de données de santé parmi les plus denses d'Europe. Entre 2021 et 2025, le premier CHU de France a engagé un plan de modernisation de 364 millions d'euros pour sortir de la vétusté informatique et encaisser la pression cyber croissante. Voici l'état du chantier en avril 2026, chiffres officiels et zones encore fragiles.
Pourquoi l'AP-HP a dû basculer en mode chantier
Le contexte cyber
Les hôpitaux français sont la cible de choix des groupes de rançongiciels depuis 2019. Des établissements entiers ont été paralysés : CHU de Rouen (novembre 2019), hôpital de Dax (février 2021), hôpital d'Arles (juillet 2021), Corbeil-Essonnes (août 2022, 10 M€ de rançon demandée par LockBit). L'AP-HP, par sa taille, représente le trophée ultime. Elle a elle-même subi plusieurs tentatives d'intrusion documentées.
La vétusté héritée
Avant 2021, 45 % des postes de travail de l'AP-HP tournaient sur des systèmes obsolètes (Windows 7, XP embarqué sur du matériel médical, versions non mises à jour de logiciels métier). Un terrain idéal pour n'importe quelle porte d'entrée criminelle.
Le rapport de la Cour des comptes de décembre 2024 (La sécurité informatique des établissements de santé) a qualifié la situation française de sous-financement chronique : la cybersécurité représente en moyenne 1,5 % du budget IT des hôpitaux français, contre 7 à 10 % recommandés par l'ANSSI.
Les 364 millions du plan 2021-2025
Répartition budgétaire
Selon les documents officiels publiés par l'AP-HP et relayés par APM Intelligence, les 364 millions d'euros engagés se répartissent ainsi :
| Poste | Montant | Part |
|---|---|---|
| Performance du SI (dont cybersécurité) | 187,3 M€ | 51 % |
| Modernisation des postes de travail et réseau | 98,5 M€ | 27 % |
| Logiciels métiers et dossier patient informatisé | 52 M€ | 14 % |
| Infrastructures datacenter | 26,2 M€ | 7 % |
Soit une moyenne annuelle de 70,8 à 78,4 M€ sur cinq ans (2021-2025).
La gouvernance mise en place
- Direction des Systèmes d'Information restructurée en 2021 sous la direction de Daniel Auguste (ex-Assurance Maladie)
- RSSI AP-HP avec équipe dédiée et rapport direct au directeur général
- Conseil scientifique cybersécurité consultatif avec intervenants de l'ANSSI et du Campus Cyber de La Défense
- Comité de pilotage trimestriel avec l'ARS Île-de-France
!Salle de serveurs avec baies lumineuses bleues
Les chantiers menés et leurs résultats
1. Réduction de la vétusté des postes de travail
Résultat mesuré : passage de 45 % à 15 % de vétusté en moins de deux ans (source : priorités numériques 2025, document CME mars 2025).
Le plan prévoit 10 % à fin 2026 (chiffre à surveiller). Les 15 % restants concernent principalement du matériel médical embarqué (imagerie, laboratoire), dont la mise à niveau dépend des fournisseurs équipementiers.
2. Authentification à double facteur (MFA)
Le déploiement MFA a été étendu en 2024 à :
- Le webmail AP-HP (100 000 boîtes)
- Les accès prestataires externes (milliers de comptes sociétés tierces)
- Les accès VPN pour le télétravail
- L'accès au dossier patient informatisé (en cours de généralisation)
L'objectif 2026 est de couvrir 100 % des accès sensibles avec MFA (soit matériel — YubiKey soit logiciel — Authenticator).
3. Plans de continuité et de reprise d'activité (PCRA)
Depuis 2024, chaque service clinique de l'AP-HP dispose d'un PCRA métier spécifique. Ce plan documente :
- Les procédures dégradées papier en cas de panne prolongée du SIH (système d'information hospitalier)
- Les circuits de prise en charge patient sans informatique
- Les chaînes de communication alternatives (radio, coursier, téléphone ancien)
- Les priorités de reprise par ordre critique
4. Les 25 exercices cyber depuis 2021
L'AP-HP a mené, selon le RSSI (propos relayés par TicSanté en mars 2025), 25 exercices de cybersécurité en quatre ans, dont un majeur en 2024 mobilisant 1 500 agents simultanément. Scénarios joués :
- Rançongiciel sur le système de paie
- Perte du dossier patient informatisé pendant 72 heures
- Compromission d'un fournisseur tiers avec accès SI
- Attaque par déni de service sur les portails publics
Ces exercices révèlent régulièrement des failles organisationnelles (chaîne de décision trop lente, redondance réseau insuffisante dans certains bâtiments historiques).
5. Segmentation du réseau hospitalier
Historiquement, le réseau AP-HP était largement plat (tout le monde parle à tout le monde). Depuis 2022, une micro-segmentation a été déployée :
- Postes cliniques isolés des postes administratifs
- Équipements médicaux (IRM, scanners) dans des VLAN séparés
- Zones DMZ renforcées pour les accès extérieurs
- Postes étudiants et chercheurs sur un sous-réseau distinct
Résultat opérationnel : en cas d'intrusion dans une zone, la propagation latérale est ralentie et limitée.
Ce que dit le rapport de la Cour des comptes (décembre 2024)
Le rapport La sécurité informatique des établissements de santé publié le 3 janvier 2025 dresse un bilan national. Pour l'AP-HP spécifiquement :
- Progrès notables sur la gouvernance et la réduction de vétusté
- Points de vigilance : dépendance à des éditeurs étrangers (Oracle, Microsoft, SAP) sans plan de souveraineté clair
- Recommandation : porter la part cybersécurité à 5 % du budget IT (soit environ 30 M€ annuels dédiés cyber pure)
- Alerte sur les établissements partenaires de l'AP-HP (cliniques conventionnées, laboratoires externes) qui restent des maillons faibles
Les zones encore fragiles en 2026
1. Les équipements médicaux vieillissants
Des scanners, IRM, automates de laboratoire et pompes à perfusion fonctionnent encore sous Windows XP embedded ou Windows 7. Les fabricants (Siemens, Philips, GE Healthcare) n'assurent pas toujours de mise à jour, et le remplacement coûte plusieurs millions par machine. Le plan prévoit un fonds dédié équipements médicaux IT à partir de 2026.
2. Les fournisseurs tiers
L'AP-HP travaille avec des centaines de prestataires (restauration, nettoyage, sécurité, transport patients). Chaque contrat expose potentiellement le SI. La loi Programmation militaire et la directive NIS 2 (transposée en France en octobre 2024) imposent désormais des obligations cyber aux prestataires sensibles.
3. La formation continue du personnel
100 000 agents, dont beaucoup non-informaticiens. Le risque principal reste le phishing et l'ingénierie sociale. L'AP-HP déploie des campagnes simulation phishing depuis 2023 (un email piégé envoyé tous les mois à l'ensemble du personnel, avec mesure du taux de clic et formation ciblée).
Le taux de clic sur phishing simulé est passé de 24 % en 2021 à 9 % en 2024, selon les données RSSI.
4. Les objets connectés médicaux (IoMT)
Stéthoscopes numériques, capteurs de température patient, bracelets connectés : le parc d'Internet of Medical Things explose. Chaque appareil est un potentiel vecteur. L'AP-HP travaille avec l'ANSSI et la HAS sur un référentiel de sécurisation IoMT attendu pour 2026.
La feuille de route 2026-2030
Le nouveau Plan numérique AP-HP 2026-2030 (annoncé en janvier 2026) prévoit :
- 420 M€ sur cinq ans (contre 364 M€ sur la période précédente)
- Cloud souverain hospitalier : migration progressive vers des opérateurs certifiés SecNumCloud (OVHcloud, Outscale, Cloud Temple)
- Intelligence artificielle cadrée : déploiement encadré des outils d'aide au diagnostic et au codage médical, avec audit éthique préalable
- Dossier patient informatisé de nouvelle génération : refonte du DPI actuel (Orbis) avec un horizon 2028-2029
- Centre opérationnel cyber dédié (SOC hospitalier) opérationnel 24/7 à partir de 2027
Comparaison avec d'autres hôpitaux européens
| Hôpital | Budget IT annuel | Part cybersécurité | Incidents majeurs depuis 2020 |
|---|---|---|---|
| AP-HP (France) | ~90 M€ | ~5 % | 0 paralysie totale |
| Charité (Berlin) | ~75 M€ | ~8 % | 1 incident limité |
| Karolinska (Stockholm) | ~50 M€ | ~10 % | 0 |
| Gemelli (Rome) | ~35 M€ | ~3 % | 1 attaque majeure 2023 |
| Guy's and St Thomas' (Londres) | ~60 M€ | ~7 % | 1 incident transfusion 2024 |
L'AP-HP se situe dans la moyenne haute européenne en budget absolu, mais en-dessous de la moyenne en pourcentage alloué à la cybersécurité pure.
À lire aussi sur culturaquiz
- WhatsApp partage calendrier : chiffrement et vie privée — vos données de santé version messagerie.
- Montre Wear OS et autonomie (2026) — smartwatches et métriques santé en continu.
- Email Bbox : webmail et IMAP — sécuriser son email opérateur personnel.
Foire aux questions
Combien l'AP-HP a-t-elle investi dans la modernisation IT sur 2021-2025 ?
364 millions d'euros au cumul, soit environ 70,8 à 78,4 M€ par an. Le plan couvrait la performance du SI (187,3 M€), les postes de travail (98,5 M€), les logiciels métier (52 M€) et les infrastructures datacenter (26,2 M€).
Quelle est la vétusté des postes informatiques de l'AP-HP aujourd'hui ?
15 % en 2025, contre 45 % début 2021. L'objectif affiché dans les priorités numériques 2025 est de descendre à 10 % fin 2026. Les 15 % restants concernent principalement du matériel médical embarqué.
L'AP-HP a-t-elle été victime d'une cyberattaque majeure ?
Aucune paralysie totale depuis 2015. Des tentatives documentées ont eu lieu (notamment en 2020 pendant la crise COVID) mais ont été contenues. Le plan de modernisation vise à éviter le scénario Corbeil-Essonnes ou Dax.
Combien d'exercices de cybersécurité l'AP-HP a-t-elle menés ?
25 exercices entre 2021 et mars 2025, selon le RSSI cité par TicSanté. Le plus récent et le plus massif (2024) a mobilisé 1 500 agents simultanément sur un scénario de rançongiciel.
Qu'est-ce que le MFA à l'AP-HP ?
MFA signifie authentification à double facteur (un mot de passe + un code envoyé par SMS, une appli authenticator ou une clé physique YubiKey). L'AP-HP a généralisé le MFA au webmail, aux accès prestataires, aux VPN de télétravail et est en cours de généralisation sur le dossier patient informatisé.
La Cour des comptes a-t-elle validé la politique cyber de l'AP-HP ?
Le rapport de décembre 2024 salue les progrès de gouvernance mais alerte sur un sous-financement cyber chronique dans l'ensemble des hôpitaux français, AP-HP comprise. Elle recommande de porter la part cybersécurité à 5 % du budget IT.
Quel est le prochain plan numérique de l'AP-HP ?
Le Plan numérique AP-HP 2026-2030 prévoit 420 M€ (contre 364 M€ sur la période précédente), la migration vers du cloud souverain SecNumCloud, un SOC hospitalier 24/7 à partir de 2027, et la refonte du dossier patient informatisé à horizon 2028-2029.
Combien de patients sont soignés chaque année par l'AP-HP ?
Environ 10 millions de patients par an (file active et passages urgences cumulés), sur 39 établissements hospitaliers, avec 100 000 agents dont environ 22 000 médecins. C'est le premier hôpital universitaire d'Europe par la taille.
