Dans un contexte où les cyberattaques se multiplient rapidement, la Cour des comptes a publié, le 3 janvier 2025, un rapport alarmant sur la cybersécurité des hôpitaux français, mettant en exergue des lacunes préoccupantes. Après avoir été touché par une cyberattaque dévastatrice, l’hôpital André Mignot, au Chesnay, a récemment achevé sa reconstruction numérique. Malheureusement, son expérience ne reste pas un cas isolé dans tout le pays.

Une menace grandissante pour la santé publique

Les hôpitaux en France sont de plus en plus ciblés par les cyberattaques, représentant 10 % des victimes de rançongiciels en 2023. Cela les place juste derrière les PME et les collectivités territoriales, un fait inquiétant pour le fonctionnement des services de santé. Ces attaques, souvent menées par le biais de rançongiciels ou de violations de données, entraînent des conséquences catastrophiques : interruptions des services d’urgence, déprogrammations massives et transferts de patients. En 2023, la situation est alarmante avec 68 incidents de « mise en danger potentielle » et 1 cas de « mise en danger avérée » recensés. Sur le plan financier, les pertes peuvent atteindre 10 millions d'euros pour gérer une crise, et 20 millions d'euros pour les pertes d'exploitation.

Infrastructure : une vulnérabilité accrue

La complexité croissante des systèmes d’information hospitaliers complique encore leur sécurisation. Certains CHU utilisent jusqu'à 1 000 applications interconnectées, rendant la tâche des spécialistes en cybersécurité d’autant plus ardue. De plus, les hôpitaux investissent en moyenne seulement 1,7 % de leur budget d'exploitation en numérique, contre 9 % dans le secteur bancaire. Pour aggraver les choses, 20 % de leurs équipements informatiques sont obsolètes ou non maintenus, exposant ainsi les institutions à des failles de sécurité majeures. Un autre point soulevé par la Cour des comptes est le manque de formation spécifique en cybersécurité pour les professionnels de santé, ce qui limite leur capacité à détecter et signaler les incidents.

Initiatives insuffisantes face à l’urgence

Face à cette crise, le programme **Cyberaccélération et résilience des établissements** (CaRE) a été mis en place en 2023, avec un budget de 750 millions d'euros sur cinq ans. Cependant, moins d'un tiers de ce montant avait été engagé à la fin 2024. La Cour appelle à prolonger le financement et à instaurer des audits périodiques obligatoires pour tous les établissements de santé, ainsi qu'à créer un fonds national pour soutenir les hôpitaux attaqués. La récente directive européenne NIS 2, entrée en vigueur le 17 octobre 2024, renforce les obligations de cybersécurité en qualifiant les hôpitaux d'« entités essentielles ». En France, cela pourrait concerner entre 750 et 1 300 établissements. Toutefois, cette norme implique des coûts supplémentaires et nécessite une coordination plus forte entre agences territoriales et nationales.

Conclusion : Quelles solutions pour l’avenir ?

Face à ce constat alarmant, il est urgent de trouver des solutions robustes pour protéger nos établissements de santé. La sensibilisation du personnel, un investissement accru dans les infrastructures numériques et une collaboration entre les secteurs public et privé semblent être des étapes indispensables pour garantir une cybersécurité efficace dans les hôpitaux. Alors, comment réagiront nos dirigeants face à cette crise de cyberdéfense ? Restez à l'écoute pour de nouvelles révélations !