Alors que le nombre de cyberattaques ciblant les hôpitaux ne cesse d'augmenter, un rapport alarmant de la Cour des comptes, publié récemment, met en lumière d'importantes lacunes dans la cybersécurité des établissements de santé français.

Prenons l'exemple de l’hôpital André Mignot, situé au Chesnay dans les Yvelines, qui a à peine terminé son processus de reconstruction numérique après une cyberattaque dévastatrice survenue en 2022. Ce cas n’est pas une exception, mais plutôt le reflet d'une tendance inquiétante.

Une menace croissante pour les établissements de santé

Les abus informatiques visant les hôpitaux présentent des risques considérables pour la vie des patients et le bon fonctionnement des services de santé. Selon le rapport déposé en 2023, les hôpitaux français ont représenté 10 % des attaques par rançongiciels, les plaçant ainsi parmi les cibles les plus vulnérables, juste derrière les PME et collectivités.

Ces incidents, souvent orchestrés avec des rançongiciels sophistiqués et des violations de données, peuvent entraîner la paralysie des systèmes d’information hospitaliers, résultant en interruptions des services d'urgence et des transferts de patients. En 2023, on a recensé pas moins de 68 cas de 'mise en danger potentielle' dans ces établissements.

Les conséquences financières sont également alarmantes, avec des pertes pouvant atteindre 10 millions d'euros pour gérer une crise et jusqu’à 20 millions d'euros en termes de perte de revenus d’exploitation.

Obsolescence des systèmes informatiques : un problème majeur

La complexité des systèmes d'information hospitaliers, couplée à une infrastructure souvent délaissée, aggrave la vulnérabilité de ces établissements. Les grands hôpitaux, tels que les CHU, utilisent parfois jusqu'à 1 000 applications interconnectées, rendant leur sécurisation d'autant plus difficile. En moyenne, les hôpitaux ne consacrent que 1,7 % de leur budget d'exploitation au numérique, une fraction bien inférieure aux 9 % observés dans le secteur bancaire. De plus, 20 % des équipements informatiques sont en maintenance obsolète, créant de grandes failles de cybersécurité.

Formation insuffisante : un manque criant

Le rapport souligne également le manque de formation spécifique en cybersécurité pour les professionnels de santé. Ce déficit de compétences limite leur capacité à détecter et à signaler les incidents, souvent par crainte de la presse. Un professionnel de santé formé en cybersécurité pourrait faire toute la différence pour protéger les données sensibles des patients.

Des initiatives de soutien mal financées

Pour faire face à cette crise, le programme 'Cyberaccélération et résilience des établissements' (CaRE) a été lancé en 2023, doté de 750 millions d'euros sur cinq ans. Toutefois, à la fin de 2024, seulement 223 millions d'euros avaient été dépensés, soit moins d'un tiers des fonds prévus. Ceci laisse présager une situation précaire pour beaucoup d'hôpitaux.

La Cour des comptes appelle donc à un financement continu au-delà de 2024 et propose d'instaurer des audits périodiques obligatoires pour la cybersécurité de tous les établissements de santé. De plus, elle insiste sur la nécessité de créer un fonds national pour compenser les pertes subies par les hôpitaux victimes d'attaques.

Implications de la directive européenne NIS 2

La directive NIS 2, qui a pris effet le 17 octobre 2024, impose de nouvelles obligations de cybersécurité aux établissements de santé, les classant comme 'entités essentielles'. Cela concerne potentiellement 750 à 1 300 hôpitaux en France. Cependant, cette transposition nécessitera des investissements supplémentaires conséquents pour se conformer aux nouvelles normes. La Cour des comptes préconise également une coordination accrue entre les agences nationales et régionales pour faciliter cette adaptation.

En conclusion, la cybersécurité des hôpitaux est aujourd'hui en péril et nécessite des actions urgentes pour protéger l'avenir de nos systèmes de santé. Serait-il temps de faire de la cybersécurité une priorité nationale ?