Ce qu'on ne vous dit pas quand un hôpital se fait attaquer.
Un hôpital français met deux ans à se relever d'un ransomware. 1 000 postes, 200 applications, des dossiers patients perdus à jamais. J'ai vécu un ransomware en 2018. Ce qui me met en colère, ce n'est pas l'attaque.

J'ai vécu un ransomware. En 2018. Pas dans un hôpital, dans une petite structure. Nous avions des sauvegardes, et c'est ce qui nous a sauvés. Deux mois pour nous en remettre. Deux mois pendant lesquels chaque matin commençait par la même question : qu'est-ce qui fonctionne aujourd'hui ? Deux mois à reconstruire, à vérifier, à douter de chaque fichier restauré, à se demander si quelque chose n'avait pas été oublié dans un recoin du système. Et nous étions petits. Quelques dizaines de postes. Quelques applications.
Le centre hospitalier de Pontarlier, dans le Doubs, vit la même chose depuis octobre 2025. Mais à une échelle incomparable. Plus de 1 000 postes de travail. Environ 200 applications. Un système d'information dont dépendent les prescriptions, les résultats de laboratoire, la facturation, le suivi des patients, le standard téléphonique. Tout. Six mois après l'attaque, le retour à la normale n'est pas prévu avant début 2027.
Quand on lit ce genre d'information dans la presse, on retient le chiffre. Deux ans. C'est choquant, et ça passe vite. Ce qu'on ne retient pas, c'est tout ce qui se joue entre l'incident et cette date lointaine. Et c'est pourtant là que se trouve l'essentiel.
Le quotidien qu'aucun article ne raconte
Ce que les gens ne voient pas, c'est un hôpital entier qui fonctionne au papier. Des prescriptions manuscrites. Des résultats d'analyse qui circulent en format physique. Des infirmières qui notent à la main ce qu'un logiciel enregistrait en deux clics. Des médecins qui n'ont plus accès à l'historique de leurs patients. Un standard téléphonique muet pendant des mois.
Ce que les gens ne voient pas, c'est la facturation paralysée. L'hôpital réalise des soins qu'il ne peut plus coter, des examens qu'il ne peut plus facturer, des actes dont la trace administrative n'existe nulle part. L'Agence Régionale de Santé a débloqué 2 millions d'euros d'aide exceptionnelle. Ce ne sera pas suffisant. La perte d'exploitation se comptera en millions. Et une partie des actes réalisés pendant ces mois ne sera jamais rattrapée. Un bilan sanguin qui n'apparaît pas dans le dossier informatisé au moment de la reconstruction, c'est un acte qui n'existe plus administrativement. Il a été fait. Le patient a été soigné. Mais le système ne le saura jamais.
Ce que les gens ne voient pas non plus, c'est le poids sur les équipes. Je me souviens, en 2018, de la fatigue qui s'installe dès la deuxième semaine. Pas la fatigue d'une nuit blanche. Celle d'un effort continu, sans horizon clair, sans certitude que ce qu'on reconstruit aujourd'hui ne va pas poser un problème demain. Dans une petite structure, c'était déjà lourd. Dans un hôpital où des soignants doivent en même temps prendre en charge des patients et compenser manuellement chaque fonction que l'informatique assurait, elle est écrasante. Et elle dure depuis six mois.
Le problème n'est pas l'attaque. C'est ce qui ne se passe pas après.
Le directeur de l'hôpital de Pontarlier demande un protocole nationalisé pour gérer ces situations. Il dit que son établissement n'est pas le seul à vivre ça. Il a raison sur toute la ligne. Et c'est exactement ce qui me met en colère.
En 2022/2023, la Fédération Wallonie-Bruxelles, a diligenté un audit de maturité cybersécurité sur une centaine d'administrations communales et de pouvoirs locaux belges. J'étais le lead auditeur de cette mission. J'ai supervisé la centaine d'audit. Le constat était accablant : un niveau de maturité exécrable, des infrastructures exposées, des plans de continuité inexistants ou théoriques, des équipes sans ressources et sans formation.
Parmi les recommandations que j'ai remises, il y en avait une que je considérais comme structurante : la création, au niveau fédéral, d'une capacité d'intervention d'urgence dédiée. Pas un guide de bonnes pratiques. Pas un référentiel de plus. Une force de réponse opérationnelle, capable d'intervenir concrètement sur les cas les plus graves, de rationaliser l'effort de reconstruction, de mutualiser les compétences techniques que ces structures n'ont pas les moyens d'entretenir en interne. L'idée était simple : nationaliser l'effort de remédiation pour permettre aux institutions touchées de se remettre sur pied le plus rapidement possible, au lieu de les laisser seules face à une catastrophe qu'elles n'ont ni les compétences ni le budget pour gérer.
C'était en 2023. Nous sommes en 2026. Rien ne s'est passé. Ni cette recommendation, ni aucune autre d'ailleurs.
Chacun pour soi, et le ransomware pour tous
Ce qui se joue à Pontarlier est exactement le scénario que nous décrivions il y a trois ans. Un établissement public, de taille moyenne, sans les ressources d'un CHU, qui se retrouve seul face à une reconstruction de deux ans. Avec une aide financière bienvenue mais insuffisante. Avec des équipes épuisées. Avec des données perdues. Avec 700 000 euros de matériel à racheter et une perte d'exploitation en millions. Et sans structure nationale dédiée pour venir poser les mains sur le système et accélérer la reconstruction.
L'hôpital a fait le choix de reconstruire avec un niveau de sécurité aligné sur NIS2. C'est courageux et c'est nécessaire. Mais NIS2 est un cadre de prévention. Ce dont Pontarlier avait besoin le lendemain de l'attaque, ce n'est pas un référentiel. C'est une équipe. Des gens capables de débarquer sur site, d'évaluer les dégâts, de prioriser la reconstruction, de remonter un socle technique en semaines plutôt qu'en mois. Et de capitaliser sur cette expérience pour que l'hôpital suivant ne reparte pas de zéro.
Ce type de capacité existe dans certains pays. Il existe dans le secteur privé pour les organisations qui ont les moyens de s'offrir des contrats de réponse à incident avec des prestataires spécialisés. Il n'existe pas pour un hôpital de province. Il n'existe pas pour une commune de 15 000 habitants. Il n'existe pas pour les structures qui en ont le plus besoin.
Ce que Pontarlier devrait provoquer
Je ne reproche rien à l'hôpital de Pontarlier. Ils font avec ce qu'ils ont, et la transparence dont ils font preuve est remarquable. Ce que je reproche, c'est l'inertie structurelle qui fait qu'en 2026, un établissement de santé touché par un ransomware se retrouve encore seul face à deux ans de reconstruction.
Nous avions posé le diagnostic en 2023. Nous avions formulé la recommandation. La réponse a été le silence. Et pendant ce silence, les attaques ont continué, les établissements ont continué de tomber, et chacun a continué de se relever seul, dans son coin, avec ses propres moyens, en réinventant les mêmes solutions que le précédent avait inventées six mois plus tôt.
Quand je repense à nos deux mois de reconstruction en 2018, avec notre petite structure et nos sauvegardes qui fonctionnaient, je mesure l'écart. Deux mois, c'était déjà un gouffre. Deux ans, pour un hôpital, c'est une autre dimension. Et la différence entre les deux n'est pas seulement une question de taille. C'est une question de solitude.
Le prochain Pontarlier est déjà dans la file d'attente. La question n'est pas de savoir s'il tombera. C'est de savoir s'il sera encore seul quand ça arrivera.
Questions fréquentes
Que s'est-il passé au centre hospitalier de Pontarlier ?
Depuis octobre 2025, l'hôpital subit un ransomware affectant plus de 1 000 postes de travail et environ 200 applications. Six mois après l'attaque, le retour à la normale n'est pas prévu avant début 2027.
Pourquoi la reconstruction prend-elle autant de temps ?
Un système d'information dont dépendent prescriptions, résultats de laboratoire, facturation, suivi des patients et standard téléphonique doit être reconstruit et vérifié pièce par pièce. Pour une structure de taille moyenne, sans ressources d'un CHU ni appui national dédié, l'effort se compte en années.
Quelles sont les conséquences invisibles d'une telle attaque ?
Un fonctionnement au papier, des soins réalisés mais impossibles à coter ou à facturer, des actes qui disparaissent administrativement, et un poids écrasant et durable sur des soignants qui compensent manuellement chaque fonction informatique.
Quelle solution l'auteur défend-il ?
La création d'une capacité d'intervention d'urgence nationale en remédiation : une équipe opérationnelle capable d'intervenir sur site, de prioriser et d'accélérer la reconstruction, et de capitaliser pour les établissements suivants, plutôt qu'un référentiel de plus.
NIS2 suffit-il à répondre au problème ?
Non. NIS2 est un cadre de prévention, courageux et nécessaire pour reconstruire avec un meilleur niveau de sécurité, mais il ne remplace pas la force de réponse opérationnelle dont un établissement a besoin au lendemain d'une attaque.

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
