Numérisation de la santé sans sécurité
Le système de santé algérien connaît une transformation numérique impensable il y a dix ans. Les centres hospitaliers universitaires (CHU) d’Alger, Oran, Constantine et Annaba ont implémenté des systèmes de dossiers médicaux électroniques (DME), la prescription informatisée et l’imagerie médicale numérique (PACS). La CNAS traite des millions de demandes électroniquement, reliant pharmacies, hôpitaux et cliniques via un réseau national de remboursement. Le système Chifa, utilisé par plus de 30 millions de bénéficiaires, numérise l’identification des patients et la vérification d’assurance aux points de soins. Le déploiement récent de la carte e-Chifa de deuxième génération — avec une technologie de puce améliorée et un plafond de remboursement d’ordonnance porté à 5 000 DZD — signale une accélération de cette trajectoire numérique.
Pourtant, cette numérisation avance avec une planification cybersécurité minimale. Mondialement, la santé est le secteur le plus ciblé par les cyberattaques, comptant 22 % des attaques de rançongiciel divulguées en 2025 — une hausse de 30 % par rapport à l’année précédente. Le rapport IBM 2025 sur le coût des violations de données a trouvé que les violations dans la santé coûtent en moyenne 7,42 millions de dollars par incident, le chiffre le plus élevé tous secteurs confondus pour la 15e année consécutive. Le rapport Health-ISAC 2026 a décrit la situation comme une « crise existentielle de cybersécurité ».
La santé attire les attaquants pour des raisons structurelles : les organisations ne peuvent pas se permettre de temps d’arrêt, elles détiennent des données personnelles très sensibles (les dossiers médicaux se vendent jusqu’à 1 000 $ sur le dark web), et leurs systèmes informatiques utilisent souvent des logiciels obsolètes avec des vulnérabilités connues.
L’Algérie n’est pas exemptée de ce paysage de menaces mondiales. La combinaison de systèmes nouvellement connectés, de ressources limitées en sécurité informatique et l’absence de réglementations cybersécurité spécifiques à la santé crée un environnement de risque qui mérite une attention urgente.
La surface d’attaque : systèmes connectés dans les hôpitaux algériens
Un CHU typique en Algérie fonctionne avec plusieurs systèmes numériques interconnectés. Les systèmes d’information hospitaliers (SIH) gèrent admissions, sorties et transferts. Les PACS stockent et distribuent l’imagerie médicale en format DICOM. Les systèmes d’information de laboratoire (SIL) gèrent analyses sanguines et résultats de pathologie. Les systèmes de gestion pharmaceutique suivent les stocks de médicaments.
Le défi sécuritaire est aggravé par les dispositifs médicaux. Les pompes à perfusion, moniteurs, ventilateurs et équipements d’imagerie modernes utilisent des systèmes d’exploitation embarqués (souvent Windows XP Embedded ou des variantes Linux) rarement patchés. L’attaque WannaCry de 2017 a dévasté le NHS britannique précisément en exploitant des systèmes Windows non patchés dans les hôpitaux, affectant plus de 60 trusts NHS avec des coûts estimés à 92 millions de livres.
Dans les hôpitaux algériens, la segmentation réseau qui devrait isoler les dispositifs médicaux des systèmes administratifs est souvent absente ou mal implémentée. Une architecture réseau plate signifie qu’un malware entrant via un email de phishing sur un poste administratif peut se propager aux systèmes cliniques. Les visites de sites révèlent des vulnérabilités courantes : mots de passe partagés, clés USB utilisées librement entre ordinateurs personnels et hospitaliers, et réseaux sans fil sans authentification de niveau entreprise.
Advertisement
Protection des données patients : de la loi 18-07 à la loi 25-11
Le cadre de protection des données de l’Algérie a significativement évolué. La législation fondamentale, la loi 18-07 (juin 2018) sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel, a établi des principes généraux et désigné les données de santé comme « données sensibles » nécessitant une protection renforcée. Cependant, la loi 18-07 n’est devenue pleinement applicable qu’en août 2023, après l’installation de l’ANPDP en août 2022 — un délai de mise en oeuvre de cinq ans.
Un développement réglementaire majeur est arrivé avec la loi 25-11 (juillet 2025), qui a amendé la loi 18-07 et introduit plusieurs dispositions pertinentes pour la cybersécurité de la santé. Notamment, la loi 25-11 impose la notification de violation à l’ANPDP dans les 5 jours suivant la découverte. L’amendement requiert aussi la nomination obligatoire de délégués à la protection des données (DPO), des analyses d’impact (DPIA) et des registres de traitement détaillés.
La posture cybersécurité de l’Algérie a été renforcée au niveau national. Le décret présidentiel 25-321 (décembre 2025) a approuvé la Stratégie Nationale de Cybersécurité 2025-2029, et le décret présidentiel 26-07 (janvier 2026) a établi des unités cybersécurité dédiées au sein des institutions publiques — une mesure directement applicable aux hôpitaux publics.
Cependant, ces cadres restent généralistes. La loi 18-07, même amendée par la loi 25-11, ne contient pas d’exigences cybersécurité spécifiques à la santé équivalentes au HIPAA Security Rule américain. Une réglementation sectorielle sur la sécurité des données de santé reste la lacune réglementaire la plus importante à combler.
Construire la cyber-résilience de la santé
Le chemin nécessite des actions aux niveaux institutionnel, réglementaire et national. Au niveau hospitalier, les directeurs de CHU et responsables informatiques devraient conduire des évaluations formelles des risques cybersécurité. La segmentation réseau — séparant dispositifs médicaux, postes cliniques, systèmes administratifs et WiFi invité — est la mesure technique la plus impactante et peut être implémentée avec l’infrastructure réseau existante.
La formation obligatoire en cybersécurité pour le personnel de santé est tout aussi critique. Le phishing reste le vecteur d’attaque principal. Les programmes de formation doivent être continus et adaptés aux flux de travail cliniques.
Au niveau national, le ministère de la Santé devrait développer un cadre cybersécurité santé avec l’ANPDP, CERIST et des organisations internationales comme l’OMS. Ce cadre devrait imposer des standards de sécurité minimaux pour les systèmes informatiques de santé, exiger des audits réguliers pour les CHU, établir un CERT sectoriel santé et créer un mécanisme de signalement confidentiel des incidents. Les unités cybersécurité imposées par le décret présidentiel 26-07 fournissent une base structurelle, mais nécessitent des orientations spécifiques à la santé pour être efficaces.
Advertisement
🧭 Radar de Décision
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — la numérisation de la santé s’accélère tandis que les protections cybersécurité restent minimales, créant un risque systémique pour les données patients |
| Calendrier d’action | Immédiat — la santé est le secteur le plus ciblé mondialement ; les hôpitaux connectés algériens sont exposés maintenant |
| Parties prenantes clés | Ministère de la Santé, départements informatiques des CHU, CNAS, ANPDP, CERIST, OMS Santé Numérique |
| Type de décision | Stratégique |
| Niveau de priorité | Critique |
En bref : Les hôpitaux algériens connectent les systèmes de données patients aux réseaux sans les fondations cybersécurité que la santé exige. Une réglementation sécurité spécifique à la santé sous la loi 18-07, des évaluations de risques obligatoires pour les CHU et la segmentation réseau sont des premières étapes réalisables avant qu’un incident de l’ampleur de WannaCry ne force une action réactive.
Sources et lectures complémentaires
- IBM Cost of a Data Breach Report 2025 — IBM Security
- Healthcare Data Breach Costs 2025 — HIPAA Journal
- Healthcare Most Targeted Sector for Ransomware 2025 — HIPAA Journal
- Algeria Data Protection Law 18-07 and Amendments (Law 25-11) — CMS Law
- Algeria Digital Policy Updates — Digital Policy Alert
- HIPAA Violation Fines and Penalties 2026 — HIPAA Journal
- Chifa Card and Third Party Payment System — CNAS Algeria
- e-Chifa Card Launch and Reimbursement Update — APS
- WHO Cybersecurity Guide for Digital Health Systems
- WannaCry Cyber Attack Impact on NHS — National Health Executive
Advertisement