Les établissements de santé font face à de véritables défis en 2026. D’un côté, la menace cyber ne faiblit pas. De l’autre, les exigences des programmes nationaux, CaRE, Ségur, HOP’EN 2, s’intensifient. Comprendre comment sécuriser et moderniser son système d’information hospitalier est devenu un enjeu de santé publique autant qu’un impératif organisationnel. Ce guide opérationnel s’adresse aux RSSI, DSI et directeurs en phase active de transformation.
Le panorama des solutions SIH sur le marché français
Avant toute démarche de modernisation, il est utile de comprendre le marché. Le paysage des éditeurs de systèmes d’information hospitaliers est structuré, mais hétérogène selon les segments fonctionnels. Chaque solution présente ses propres caractéristiques en termes de couverture, de maintenance et d’interopérabilité.
Dossier patient informatisé (DPI) et gestion administrative
Au cœur de tout système d’information, le dossier patient centralise les prescriptions, les résultats d’examens et l’ensemble des informations médicales nécessaires à la prise en charge. Plusieurs acteurs se partagent ce segment stratégique :
- Hexagone Santé est l’un des acteurs les plus présents dans les établissements MCO et SSR. Sa suite couvre le dossier patient, la facturation et les modules de prescription. Elle est référencée Ségur.
- Dedalus (ex-AGFA HealthCare) est très déployé dans les CHU et CHR. Acteur européen de référence sur le DPI et les résultats d’examens (PACS, LIS), il résulte de plusieurs rachats successifs.
- Softway Medical (groupe Cegedim) adresse en priorité les établissements privés et cliniques. Sa suite Easily offre une passerelle vers la médecine de ville via l’écosystème Cegedim.
- ChronoSanté / Axigate proposent des solutions modulaires adaptées aux structures de taille moyenne — EHPAD, HAD, cliniques SSR. Ces outils permettent de gérer l’activité sans l’investissement d’une suite intégrée complète.
Pour les DSI confrontés à des systèmes d’informations très hétérogènes, des couches de médiation comme Mirth Connect (open source) ou les solutions de type Infor Cloverleaf constituent une aide précieuse. Elles permettent de faire dialoguer des applications disparates via les standards HL7/FHIR, et de maintenir un équilibre entre l’existant et les nouvelles briques applicatives.
Gestion RH et plannings des professionnels de santé
La gestion des ressources humaines est une partie souvent sous-estimée du système d’information hospitalier. Pourtant, elle conditionne directement l’organisation des services et la qualité des soins.
- Octime et Horoquartz dominent la gestion des temps, des plannings et la gestion des lits dans les établissements publics et privés.
- Gestime (Softway Medical) est souvent couplé aux solutions DPI du même éditeur pour une utilisation unifiée.
Imagerie médicale (PACS/RIS)
Les solutions Sectra, Fujifilm Synapse, Carestream et Dedalus Orbis sont parmi les plus répandues dans les hôpitaux français. L’imagerie constitue un domaine fonctionnel à part entière du système d’information, avec des contraintes spécifiques de volumétrie, de performance et d’accès aux données.
Note DSI/RSSI : trois critères sont non négociables dans tout appel d’offres : le référencement Ségur, la compatibilité FHIR/HL7 et la capacité de l’éditeur à accompagner les évolutions réglementaires dans la durée. Un audit fonctionnel et technique de l’existant reste indispensable avant tout engagement contractuel.
Cybersécurité : le défi structurant de 2026
Les hôpitaux sont devenus des cibles privilégiées des cybercriminels. Rançongiciels, exfiltrations de données, paralysie de systèmes entiers : les conséquences sur la continuité des soins peuvent être dramatiques. La protection des données de santé et la résilience du système d’information hospitalier sont au cœur des priorités de tout RSSI en 2026.
Le programme CaRE en pratique
Lancé en 2023 par le ministère de la Santé et l’ANS, le programme CaRE structure la montée en maturité cyber des établissements de santé. Il donne un cadre clair pour gérer les risques au sein de chaque organisation hospitalière. Il est structuré en cinq domaines :
- Gouvernance et pilotage
- Ressources et PCRA (priorité 2026)
- Socle technique de sécurité
- Sensibilisation des utilisateurs
- Réponse aux incidents
En 2026, deux déploiements sont particulièrement actifs au sein des établissements : les PCRA (Plans de Continuité et de Reprise d’Activité) et la gestion des identités via Hospiconnect. Les établissements éligibles obtiennent des financements conditionnés à l’atteinte d’objectifs mesurables.
Pour savoir si votre hôpital est éligible, contactez notre équipe d’accompagnement CaRE.
Les actions structurantes à engager
- Audit de sécurité complet C’est le point de départ de toute politique de sécurité. Il couvre la cartographie des vulnérabilités, les tests d’intrusion éthiques et l’identification des actifs critiques du système d’information.
- PSSI (Politique de Sécurité des Systèmes d’Information) Une véritable politique SI doit être alignée sur la norme ISO 27001 et validée par la direction. Une PSSI non actualisée est une PSSI inefficace, c’est un processus vivant, pas un document statique.
- PCA/PRA testés régulièrement Les exercer au moins une fois par an permet de s’assurer qu’ils fonctionnent réellement en conditions dégradées. La réduction du temps de reprise d’activité est un objectif mesurable à intégrer dès la rédaction.
- SOC/NOC en supervision continue La détection 24/7 des incidents permet d’intervenir avant qu’une compromission ne devienne une crise. C’est un outil de protection indispensable pour tout hôpital gérant des données de santé sensibles.
- Signalement au CERT Santé Toute compromission doit être déclarée à cyberveille-sante.gouv.fr. C’est une obligation légale depuis la LFSS 2022, au même titre que les autres mentions légales encadrant l’activité des établissements de santé publics.
Ces actions forment le périmètre de notre accompagnement CaRE de bout en bout, de l’audit initial à la mise en conformité opérationnelle.
Les étapes d’une modernisation SIH réussie
Moderniser un système d’information hospitalier ne se résume pas à changer de logiciel. C’est un projet d’établissement qui mobilise la direction, la DSI, les équipes soignantes et les services administratifs sur plusieurs années. L’organisation mondiale de la santé (OMS) elle-même reconnaît la transformation numérique comme un levier central pour améliorer la qualité des soins à l’échelle mondiale.
Étape 1 : Diagnostic de l’existant Cartographiez vos applications, vos flux d’informations et vos points de vulnérabilité. Un audit couplé à un état des lieux fonctionnel constitue le socle indispensable. Sans diagnostic, pas de feuille de route crédible. C’est à cette étape que l’on identifie aussi les besoins en termes d’aide à la décision et d’outils de pilotage.
Étape 2 : Définition de la cible Alignez votre schéma directeur SI sur la stratégie de l’établissement et les référentiels en vigueur (Ségur, CaRE, MaturiN-H). Cette étape doit impliquer la direction générale au même titre que la DSI. À terme, c’est elle qui conditionne l’ensemble des décisions d’investissement numérique.
Étape 3 : Choix des partenaires Privilégiez des prestataires certifiés HDS et ISO 27001. Leur expertise doit couvrir les contraintes spécifiques des hôpitaux : urgences, continuité des soins, gestion des données de santé, multiplicité des profils utilisateurs.
Étape 4 : Déploiement par paliers Procédez par vagues fonctionnelles pour limiter les risques de rupture de service. Chaque palier doit intégrer une phase de formation et d’accompagnement au changement, financée si possible via l’ANFH. L’assistance aux utilisateurs dans la prise en main des nouveaux outils est une partie déterminante du succès.
Étape 5 : Pilotage et amélioration continue Mettez en place des indicateurs de performance et des comités de suivi réguliers. Le système d’informations hospitalier n’est jamais « terminé » : la mutation technologique et réglementaire est permanente. L’objectif est de maintenir un équilibre entre stabilité opérationnelle et capacité d’adaptation.
Tendances 2026 : trois signaux à surveiller
La convergence GHT devient data-centrée
L’approche monolithique, un seul système d’information hospitalier pour tous les établissements du GHT, cède la place à une logique de plateforme ouverte. L’interopérabilité prime désormais sur l’uniformisation. L’objectif n’est plus d’imposer le même outil à tous, mais de faire circuler les informations médicales de façon fluide, y compris vers la médecine de ville et les sites distants.
La certification SIH via MaturiN-H impose une vision consolidée à l’échelle du GHT. Les établissements membres doivent démontrer une maturité cohérente sur l’ensemble du groupement. En savoir plus sur notre accompagnement certification SIH pour les GHT →
L’IA s’invite dans les systèmes d’information hospitaliers
Les projets d’intelligence artificielle se multiplient au sein des hôpitaux : aide au diagnostic, optimisation des plannings, aide à la décision médicale, détection précoce des risques. Ils sont souvent soutenus par des appels à projets régionaux ou HOP’EN 2.
Mais tout déploiement IA doit être cadré par une gouvernance claire. Traçabilité des algorithmes, validation clinique, conformité aux réglementations européennes sur les données de santé, accès aux données scientifiques nécessaires : autant de processus à structurer en amont. L’expérimentation sans cadre expose l’établissement à des risques juridiques et opérationnels.
La souveraineté numérique devient un critère stratégique
Choisir un hébergeur certifié HDS et ISO 27001, basé en France, n’est plus seulement une question de conformité. C’est un impératif de maîtrise stratégique sur les outils numériques de l’établissement. Pour les RSSI et DSI, c’est un critère de sélection à part entière, notamment dans les établissements publics soumis à des exigences renforcées sur la protection et la gestion des données de santé.
Comment choisir le bon partenaire d’hébergement et de sécurité
| Critère | Ce que vous devez vérifier | gplexpert |
|---|---|---|
| Certification HDS | Hébergement conforme données de santé | ✅ Certifié HDS |
| Certification ISO 27001 | SMSI audité et maintenu | ✅ Certifié ISO 27001 |
| SOC/NOC managé | Supervision et détection incidents 24/7 | ✅ Services managés SOC et NOC |
| PCA/PRA | Plans testés et documentés | ✅ Audit, rédaction et tests inclus |
| Tests d’intrusion | Identification proactive des failles | ✅ Tests éthiques réguliers |
| Accompagnement réglementaire | Aide candidature CaRE, HOP’EN, Ségur | ✅ Accompagnement de bout en bout |
Retour d'expérience
« Nous avons subi une tentative de rançongiciel en 2024. Notre prestataire avait mis en place une supervision NOC qui a détecté les premiers mouvements latéraux en 40 minutes. Nous avons pu isoler les systèmes touchés avant le chiffrement généralisé. Sans ce monitoring continu, nous aurions découvert l’attaque le lendemain matin. Toute l’activité chirurgicale aurait été paralysée pendant plusieurs jours. Le SOC n’est pas un luxe. C’est une condition de survie opérationnelle pour tout hôpital. »
– RSSI d’un établissement de santé privé de 400 lits, région Auvergne-Rhône-Alpes, 2025.
FAQ – SIH
La certification SIH change-t-elle quelque chose pour les RSSI ?
Oui, directement. Le volet sécurité de MaturiN-H évalue la conformité PSSI, la gestion des identités, la robustesse du PCA/PRA et les audits réalisés. Le niveau de maturité cyber atteint dans le cadre du programme CaRE contribue positivement à cette évaluation. Les deux démarches sont complémentaires et peuvent être pilotées conjointement.
Quelles certifications sont indispensables pour héberger des données de santé ?
La certification HDS est obligatoire. La certification ISO 27001 la complète en donnant un cadre structuré à la gestion des données de santé. GPLExpert détient ces deux certifications et propose un hébergement conforme aux exigences du RGPD. Voir notre offre d’hébergement HDS.
Vous pourriez également être intéressé par les articles suivants :
La transformation numérique concerne aujourd’hui l’ensemble des établissements de santé. Dossiers patients informatisés, imagerie médicale, plateformes de coordination, outils de pilotage… le système d’information est devenu un pilier central des activités médicales et administratives.
En France, chaque établissement de santé repose sur une infrastructure numérique complexe : le système d’information hospitalier, communément appelé SIH. Pourtant, malgré son rôle central dans la prise en charge des patients, il reste souvent mal compris dans ses dimensions architecturales et réglementaires. Cet article pose les bases essentielles pour tout directeur, DAF ou DSI souhaitant piloter sa transformation numérique en toute connaissance de cause.
Ce cadre réglementaire est essentiel pour les acteurs du secteur de la santé. Il fixe les conditions que les hébergeurs doivent respecter pour garantir la confidentialité, l’intégrité et la disponibilité des données sensibles. C’est pourquoi il est essentiel de savoir comment choisir son hébergeur de données de santé. Revenons sur l’essentiel à connaître de la nouvelle version du référentiel HDS.