La Cour des comptes met en garde sur la sécurité informatique des hôpitaux
En 2023, d’après les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), 10 % des victimes d’attaques par rançongiciels en France étaient des hôpitaux, qu’ils soient publics ou privés, soulignent les magistrats de la Cour des comptes dans leur rapport intitulé “La sécurité informatique des établissements de santé“.
Les hôpitaux présentent plusieurs failles majeures qui les exposent aux cyberattaques. Leur système d’information (SI) est particulièrement complexe, comprenant, pour les établissements les plus importants, plus de 1 000 applications.
De plus, les investissements des hôpitaux dans ce domaine restent limités, avec seulement 1,7 % du budget d’exploitation consacré à l’informatique, contre 9 % pour les banques, par exemple. À cela s’ajoute l’obsolescence d’une partie des équipements, qui atteint 20 %. Cela inclut des postes de travail et serveurs utilisant des systèmes d’exploitation non maintenus, ainsi que des équipements réseau et des logiciels spécifiques ne pouvant plus être réparés ou mis à jour.
Enfin, la sensibilisation insuffisante du personnel hospitalier aux enjeux de cybersécurité est un autre point faible. Les établissements ne disposent pas d’un nombre suffisant de compétences internes pour prévenir et contrer efficacement les cyberattaques.
Des conséquences dramatiques
Le rapport présente une évaluation précise des coûts liés aux cyberattaques. « Le coût pour un hôpital peut atteindre 10 millions d’euros pour la gestion de la crise et la remédiation, et 20 millions d’euros pour la perte de recettes d’exploitation. Ces montants n’intègrent pas les éventuelles répercussions financières liées au vol et à la publication de vastes volumes de données, qu’elles soient médicales ou non, concernant les patients et les professionnels de santé », précisent les auteurs.
Plus grave encore, « l’arrêt du fonctionnement des services médicaux peut entraîner la déprogrammation des prises en charge et, dans certains cas, le transfert de patients vers d’autres établissements. Cela engendre inévitablement des risques, à court et moyen terme, pour la continuité et la qualité des soins (séquelles, perte de chances…), des risques ou conséquences dont l’ampleur reste aujourd’hui non mesurée. »
Pour illustrer l’ampleur du problème, la Cour des comptes cite un exemple concret mettant en lumière la gravité de la situation. « Un centre hospitalier de 800 lits et places, accueillant 35 500 séjours annuels en hospitalisation complète dans le domaine « médecine, chirurgie et obstétrique » (MCO), a nécessité 18 mois pour reconstruire son système d’information après une attaque. L’activité d’hospitalisation MCO, qui avait chuté de plus de 20 % suite à l’incident, n’était toujours pas revenue à son niveau de novembre 2022 à la fin du mois de février 2024. »
Des réglementations nécessaires, mais coûteuses
La Cour des comptes souligne que la mise en œuvre de la directive NIS2 entraînera une augmentation significative des coûts pour les établissements de santé. Selon ses estimations, près de 1 300 établissements pourraient être classés comme entités importantes, tandis que l’ANS et la DNS confirment une augmentation massive du nombre d’établissements de santé à classer comme entités essentielles. Bien que les coûts liés à la mise en conformité n’aient pas encore été précisément évalués, y compris dans l’étude d’impact du projet de loi de transposition en cours, ils s’annoncent élevés. De plus, des besoins conséquents en accompagnement et en solutions adaptées sont attendus.
Dans le cadre de ces nouvelles obligations, la Cour rappelle également que le marquage « CE » des dispositifs médicaux connectés ne garantit pas une sécurité totale. Pour renforcer leur protection, les établissements soumis aux marchés publics devront intégrer des clauses spécifiques liées à la cybersécurité. Toutefois, les magistrats avertissent que le « Cyber Resilience Act » ne résoudra pas ce problème, car les dispositifs médicaux en seraient exclus, au motif qu’ils relèvent déjà d’une réglementation sectorielle particulière.
