Le Plan de Continuité et de Retour d’Activité (PCRA) : un impératif pour la logistique hospitalière

Il a suffi d'une phrase, prononcée presque incidemment par un collègue, pour agir comme un électrochoc : « La question n'est pas de savoir si nous serons attaqués, mais quand nous le serons. » Depuis, avec l'impulsion institutionnelle de mon CHU, le PCRA est devenu une priorité dans les projets que je mène avec mes équipes.

Dans un contexte de multiplication des cyberattaques visant les établissements de santé, le PCRA n'est plus un document théorique relégué dans un classeur poussiéreux. Il s'impose comme un outil opérationnel vital – et relève d'un véritable devoir moral pour les directions hospitalières, en particulier pour les directions logistiques qui assurent le bon fonctionnement quotidien des soins.

Une problématique devenue systémique

L'hôpital moderne repose sur un écosystème numérisé. Les flux informatiques irriguent l'ensemble des processus : prescriptions médicales, examens biologiques, délivrance des médicaments, gestion des stocks, production des repas, circuits du linge, facturation, gestion des ascenseurs, relations avec l’EFS.

En cas de cyberattaque, le scénario est désormais bien documenté : paralysie totale ou partielle des systèmes d'information, rupture des interfaces entre soins et fonctions supports. La biologie ne reçoit plus les demandes, la pharmacie perd la traçabilité des délivrances, la cuisine ignore les régimes en cours, la blanchisserie manque de visibilité sur les volumes à traiter.

Lorsque la crise s'étend sur plusieurs jours, voire plusieurs semaines, ce sont les fondations mêmes de la continuité des soins qui vacillent. Entre 2022 et 2023, 30 hôpitaux français ont été ciblés par des cyberattaques par rançongiciel, selon un rapport de l'ANSSI publié en novembre 2024. Ces incidents représentent 10 % des attaques par rançongiciel signalées à l'agence sur cette période, soulignant la vulnérabilité accrue de ce secteur critique.

Des enjeux humains, organisationnels et éthiques

Les crises récentes ont révélé trois réalités que l'on ne peut plus ignorer.

D'abord, la vulnérabilité structurelle des établissements de santé, souvent moins bien dotés en cybersécurité que d'autres secteurs, malgré leur mission vitale. En septembre 2025, les hôpitaux des Hauts-de-France en ont fait l'amère expérience : une infiltration de serveurs a entraîné le vol de données d'identité de patients (nom, prénom, coordonnées), ouvrant la voie à des risques de phishing et d'usurpation d'identité.

Ensuite, la pression extrême sur les professionnels : soignants et agents des fonctions supports doivent réinventer, du jour au lendemain, des organisations manuelles « papier-crayon », sans outils numériques ni repères habituels, tout en maintenant un niveau optimal de qualité et de sécurité des soins.

Enfin, un enjeu éthique fondamental : garantir la continuité des soins, même en mode dégradé, est une responsabilité collective. Le PCRA n'est pas un luxe administratif. C'est un engagement ferme envers les patients, les équipes et la société.

La logistique hospitalière : un pilier de la résilience

Lors des crises récentes, les logisticiens hospitaliers ont démontré une capacité d'adaptation remarquable. Privés d'outils informatiques, ils ont réactivé des circuits manuels, priorisé les flux critiques, sécurisé les approvisionnements et maintenu le fonctionnement des services autant que possible.

Ces expériences confirment une conviction : l'hôpital est plus résilient quand il s'appuie sur une logistique solide, structurée et intégrée au service des soignants.

Mais cette résilience ne peut pas reposer sur l'improvisation ou l'héroïsme individuel. Elle doit être anticipée, organisée, et testée régulièrement pour transformer les leçons des crises passées en atouts durables.

Des retours d'expérience encore trop peu partagés

Les établissements victimes de cyberattaques détiennent un capital précieux. Depuis octobre 2017, 478 incidents de cybersécurité ont été signalés à l'ASIP Santé par les structures de santé. En 2020, l'ANSSI enregistrait une hausse de 255 % des attaques par rançongiciel par rapport à 2019, tous secteurs confondus.

Ces retours d'expérience mettent en lumière cinq enseignements clés pour la logistique :

• Identifier les activités critiques et leurs dépendances aux systèmes d'information

• Définir des scénarios de fonctionnement en mode dégradé, réalistes et opérationnels

• Préparer des outils non numériques : procédures papier, formulaires, listes de contacts

• Organiser la gouvernance de crise et les circuits de décision

• Former et entraîner régulièrement les équipes, soignants et fonctions supports réunis

La mutualisation de ces enseignements pourrait accélérer une mobilisation collective à l'échelle du secteur. Chaque crise traversée est une leçon pour tous – encore faut-il la partager.

Quelles actions concrètes engager dès maintenant ?

Le PCRA doit s'imposer comme un projet stratégique prioritaire pour les directions logistiques. Sans attendre, plusieurs chantiers peuvent être ouverts :

• Cartographier les processus logistiques critiques et leurs dépendances numériques

• Définir pour chaque activité un mode dégradé réaliste et immédiatement activable

• Constituer des kits de crise : procédures papier, formulaires, stocks de sécurité, annuaires de crise

• Organiser des exercices réguliers, impliquant à la fois soignants et fonctions supports

• Intégrer la logistique aux cellules de crise et aux démarches de cybersécurité

Au-delà des outils, il s'agit de cultiver une culture de la continuité et de la résilience – ancrée dans la préparation collective, pas dans la réaction sous pression.

Pour conclure, la question n'est plus de savoir si nos établissements seront confrontés à une cyberattaque, mais quand, et surtout comment y répondre efficacement.

Pour les directions logistiques, s'approprier le PCRA, c'est affirmer un rôle stratégique dans la continuité des soins. C'est aussi initier un débat collectif, nourri par le partage d'expériences et l'action concrète.

Le temps de l'attente est révolu. Place à la proactivité.

Et vous, où en êtes-vous dans la construction de votre PCRA ?