hôpitaux

La sécurité informatique des hôpitaux est à améliorer

Les hôpitaux sont au troisième rang des secteurs les plus touchés par les cyberattaques, après les collectivités territoriales et les entreprises. Or, quand les établissements de santé sont ciblés, de graves conséquences pèsent sur leur fonctionnement ainsi que sur la continuité et la qualité des soins.

La Cour des comptes a publié le 3 janvier 2025 ses observations sur la sécurité informatique des établissements de santé, indiquant qu’en 2023, 10 % des victimes de cyberattaques en France étaient des établissements de santé.

Des systèmes d’information fragiles

Les menaces les plus courantes sont la compromission du système d’information (violation de bases de données et de codes confidentiels), les messages électroniques frauduleux et les rançongiciels (blocage d’un appareil informatique jusqu’au versement d’une rançon).

La Cour des compte pointe la fragilité des systèmes d’information (SI) hospitaliers, dont les principales causes sont :
Leur complexité croissante (diversité des applications, des acteurs, des sources, des outils, des techniques et des processus) ;
Des budgets consacrés au numérique trop restreints : seul 1,7 % du budget d’exploitation des hôpitaux est consacré au SI et « près de 20 % des postes de travail dans les hôpitaux publics ont plus de sept ans ou un système d’exploitation hors de maintenance ou obsolète » ;
Une sensibilisation insuffisante du personnel hospitalier au cyber-risque : le comportement des utilisateurs est essentiellement à la base de la vulnérabilité des SI, « quels que soient les fonctions exercées et le niveau de leurs responsabilités ».

Par ailleurs, très souvent, les établissements de santé ne signalent pas leurs incidents de cybersécurité ; or, ils engendrent des interruptions de service, des vols de données personnelles et médicales, des dysfonctionnements opérationnels, logistiques ou financiers ainsi que des coûts élevés liés à la gestion de crise, la restructuration du réseau et la perte de recettes.

A lire aussi : SensCyber : nouvel outil de sensibilisation à la sécurité en ligne

Les recommandations de la Cour des comptes

Un cadre juridique, à la fois national et européen, vise à garantir un haut niveau de sécurité face à la cybermalveillance. Parmi ces dispositifs, la Délégation au numérique en santé (DNS), devenue en 2023 une direction d’administration centrale, pilote la feuille de route du numérique en santé 2023-2027. Celle-ci prévoit notamment 750 millions d’euros sur cinq ans pour financer la sécurité des SI hospitaliers.

De son côté, la Cour des comptes formule plusieurs préconisations dans son rapport :
– Instituer un groupe national d’expertise chargé d’évaluer les pertes de recettes à compenser en cas de cyberattaques majeures ;
– Ne plus financer la DNS avec un fonds de concours ;
– Mener à terme le programme CaRE (Cyberaccélération et résilience des établissements) ;
– Obliger les établissements à faire réaliser un audit périodique de leur sécurité informatique ;
– Octroyer systématiquement aux groupements hospitaliers de territoire la personnalité morale.