La situation des hôpitaux en France est critique non seulement en termes de personnel médical, mais aussi et surtout en matière de cybersécurité. Un récent rapport de la Cour des comptes révèle que les hôpitaux sont devenus une cible privilégiée pour les cybercriminels, qui exploitent la vulnérabilité de ces établissements. En 2023, l’Agence nationale de la sécurité des systèmes d'information (Anssi) a signalé que 10 % des victimes d'attaques par rançongiciels en France étaient des hôpitaux, qu'ils soient publics ou privés. Cette problématique, déjà préoccupante, a été dramatiquement accentuée par la crise du Covid-19.

Le premier cas marquant fut l'attaque du CHU de Rouen en novembre 2019. Depuis lors, la tendance s'est aggravée avec plusieurs incidents notables, notamment l'hôpital de Dax-Côte d'Argent en 2020, ainsi qu'une série d'attaques en 2023 ciblant des établissements tels que le CHU de Rennes et le groupe hospitalier Diaconesses-Croix Saint-Simon. L'année a également marqué le début de 2024 avec une cyberattaque au centre hospitalier d'Armentières, compromettant des données personnelles de 230 000 patients et un incident au centre hospitalier de Cannes consistant en l'exfiltration de 61 Go de données. Ces cyberattaques peuvent engendrer des coûts faramineux, atteignant parfois jusqu'à 30 millions d'euros, entre gestion de crise et pertes de revenus.

La fragilité des systèmes d'information dans les hôpitaux réside dans leur complexité croissante, avec jusqu'à 1 000 applications pour les plus grands centres hospitaliers, d'où un sous-investissement chronique dans le numérique. Actuellement, seulement 1,7 % des budgets hospitaliers sont consacrés à la cybersécurité, comparé à 9 % dans le secteur bancaire. De plus, seule une poignée d'établissements, à peine 7 %, a un responsable de la sécurité des systèmes d'information en temps plein, ce qui accentue encore la problématique de la vulnérabilité.

La France se classe parmi les pays européens les plus affectés par ces cyberattaques dans le secteur de la santé, avec 43 incidents signalés entre janvier 2021 et mars 2023, un chiffre alarmant que le gouvernement français s'efforce de contenir. La directive NIS 2, adoptée fin 2022, impose des obligations de cybersécurité renforcées, mais la France n’a toujours pas transposé ces nouvelles règles, ce qui soulève des inquiétudes quant à la rapidité d'adoption des mesures nécessaires.

Pour tenter d'inverser la tendance, le gouvernement a lancé en 2023 le programme "Cyber-accélération et résilience des établissements", doté de 750 millions d'euros sur cinq ans. Cependant, ce programme ne sera financé que jusqu'à fin 2024, et sa pérennité dépend de l'approbation du budget par le Parlement.

Une autre tentative pour remédier à cette crise passe par l’augmentation du personnel dédié à la cybersécurité. En effet, environ 4 000 postes de cyberspécialistes sont vacants, mais les hôpitaux peinent à attirer des talents en raison de salaires insuffisants par rapport au secteur privé. Les salaires offerts oscillent entre 3 300 et 4 600 euros, ce qui est nettement inférieur à ceux pratiqués ailleurs. Pourtant, la coopération entre les Groupements hospitaliers de territoire (GHT) offre une lueur d'espoir, avec une majorité d'entre eux consolidant leurs ressources en systèmes d'information.

La pandémie a souligné l'importance cruciale de nos hôpitaux. En les laissant exposés aux cyberattaques, nous risquons d'ouvrir la porte à une nouvelle crise silencieuse, qui pourrait avoir des conséquences tout aussi dévastatrices sur la santé publique.