En 2023, quatre ans après la grande attaque qui a visé le CHU de Rouen et un an avant celle qui vient de fragiliser l’hôpital de Cannes, 10 % des victimes de cyberattaques en France étaient des établissements de santé.
Principales menaces : « Compromis » du système d’information »selon les travaux que la Cour des comptes publie à la rentrée 2025 sur la sécurité informatique des établissements de santé. Autrement dit: « violations de bases de données et de code PIN, messages électroniques malveillants »et « ransomware, ce dernier étant le plus destructeur ».
En novembre 2024, l’ANSSI constatait que les défenses des établissements de santé restaient très disparates, alors que les risques pour les patients sont bien réels. A titre d’exemple, la Cour des comptes cite le cas d’un centre hospitalier en « 800 lits et places, et pouvant accueillir 35 500 séjours d’hospitalisation complète dans le domaine « médecine, chirurgie et obstétrique » (MCO) ».
Cette dernière a mis 18 mois à remettre sur pied son système d’information et, si son activité avait chuté de 20 % après l’attaque, elle n’a pas réussi à remettre sur pied son système d’information. «pas encore retrouvé son niveau de novembre 2022 fin février 2024» (l’hôpital André Mignot de Versailles, qui correspond à cette description, a été attaqué le 4 décembre 2022).
Regrettant le « retardé » Face à la réaction des pouvoirs publics, la Cour des comptes insiste pour que la dynamique de financement de la prévention et de la protection contre les risques numériques soit poursuivie.
Il recommande également la création d’un « groupe national d’experts chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de revenus à compenser » et la création d’un « audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le système d’incitation à la qualité et dans la certification par la HAS ».
Le tiers secteur le plus menacé
Dans le paysage français, la Cour des comptes constate que le « vulnérabilité des systèmes d’information hospitaliers et leur interconnexion accrue avec les systèmes externes (…) » place ce type d’entité en troisième position parmi les domaines les plus touchés par les attaques numériques.
Juste devant : les autorités locales. Les entreprises, des plus petites jusqu’à celles de taille intermédiaire, figurent en tête des acteurs les plus à risque.
En matière d’interconnexions, la Cour des comptes constate que la complexité des systèmes d’information hospitaliers, « sans équivalent », va de plus en plus – « jusqu’à 1 000 candidatures pour les plus grands hôpitaux universitaires » – alors que le numérique reste un poste de dépense très limité. En moyenne, seulement 1,7% du budget de fonctionnement lui est alloué, contre 9% dans le secteur bancaire.
Résultat : plus de 20% des postes de travail et serveurs disposent « plus de sept ans ou un système d’exploitation hors maintenance ou obsolète » et 23 % des équipements réseaux et 22 % des applications métiers ne peuvent plus être mis à jour.
La cybersécurité, le parent pauvre du numérique hospitalier
Dans le domaine numérique hospitalier lui-même, les enjeux de cybersécurité sont peu pris en compte. Les conséquences sont pourtant concrètes : les cyberattaques peuvent créer des interruptions de services, que ce soit du côté administratif (prise en charge des patients, gestion économique et financière) ou de la prise en charge des patients (le plus souvent en urgence), et le vol de données peut avoir des effets à long terme.
En moyenne, « le coût d’un hôpital peut atteindre 10 millions d’euros pour la gestion de crise et la remédiation et 20 millions d’euros pour la perte de revenus de fonctionnement »chiffre la Cour des comptes, sans prendre en compte les potentielles conséquences financières du vol et de la publication des données médicales et non médicales des patients et des professionnels.
Le rapport souligne également les répercussions en cascade lorsque le fonctionnement normal d’un établissement hospitalier est contraint de s’arrêter. La reprogrammation des soins peut entraîner des transferts de patients vers d’autres hôpitaux. Ils créent également « risques à court et moyen termes sur la continuité et la qualité des soins (séquelles, pertes d’opportunités…) ».
Cependant, « malgré l’obligation à laquelle sont soumis les établissements de santé en la matière, les incidents de cybersécurité qui les touchent ne sont pas tous déclarés, regrette la Cour des comptes, faute de compétence interne suffisante en matière de cybersécurité, mais aussi sans doute, par crainte de retombées médiatiques et réputationnelles. »
La délégation santé numérique pilote le CaRE
Pour faire face, le ministère de la Santé a chargé la Délégation santé numérique (DNS) de la gouvernance du numérique santé à l’échelle nationale. Le volet cybersécurité de sa feuille de route 2023 – 2027 comprend un volet de financement quinquennal de rattrapage, le programme « Cyberaccélération et résilience des établissements » (CaRE).
Mis en œuvre par l’Agence du Numérique Santé (ANS), au sein de laquelle est hébergé le Cert Santé, ce « programme de rattrapage » vise à débourser 750 millions d’euros sur cinq ans pour favoriser la sécurité des systèmes d’information des établissements de santé – qui ne subissaient jusqu’ici que des pertes d’exploitation et des frais de réparation des systèmes, à l’exception d’aides financières allouées de manière non uniforme par les régions. agences de santé.
Si la Cour des comptes salue l’effort, elle souligne que l’engagement financier n’a été assuré que jusqu’à fin 2024 et déclare « incontournable » sa poursuite. Il alerte également sur la nécessité de poursuivre le financement de la cyberprotection après 2027 et appelle à la coordination des différentes procédures d’audit existantes (de l’ANS, via l’ANSE).
Dans son rapport, la Cour des comptes constate divers autres retards qui contribuent à la situation actuelle, parmi lesquels le manque de coopération efficace entre les 136 groupements hospitaliers territoriaux (GHT) créés en 2016, ou encore l’absence totale d’éléments relatifs au numérique et la cybersécurité dans la formation initiale des professionnels de santé.
L’institution souligne également que les effets de la deuxième directive européenne sur la cybersécurité (NIS 2), entrée en vigueur le 17 octobre 2024, mais actuellement transposée tardivement en droit français, n’étaient pas du tout anticipés. Le texte européen élargit cependant clairement le champ des établissements concernés par les obligations de cybersécurité, à toutes les « entités essentielles » (avec plus de 250 salariés et 50 millions d’euros de chiffre d’affaires) et « importantes » (avec plus de 50 salariés et 10 millions d’euros). euros de chiffre d’affaires).
La Cour des comptes estime qu’entre 750 et 800 établissements de santé seront soumis aux obligations relatives aux entités essentielles, et près de 1.300 à celles relatives aux entités importantes.
