Cybersécurité des établissements de santé : une réponse tardive et incomplète juge la Cour des comptes
La Cour des comptes a publié le 3 janvier 2025 un rapport sur la cybersécurité des établissements de santé publics et privés. La Cour pointe la vulnérabilité des hôpitaux face à la menace cyber et les insuffisances de la réponse mise en œuvre par le gouvernement pour y faire face alors que se profilent les obligations NIS 2.
© AR avac Adobe stock
En 2023, 10% des victimes d'attaques par rançongiciels en France étaient des hôpitaux rappelle la Cour des comptes dans un rapport délibéré en octobre 2024 et publié début janvier 2025, ce qui les placent juste derrière les PME et les collectivités territoriales. Or, les conséquences de ces cyberattaques sont très lourdes pour les hôpitaux, avec un impact direct sur la prise en charge des patients du fait des interruptions de service (urgences, radiologie…). Ces dysfonctionnements durent parfois pendant plusieurs mois, comme en ont témoigné les établissements victimes de cyberattaques devant les magistrats. Le rapport relève en outre 68 cas de "mises en danger potentielles" et 1 cas de "mise en danger avérée" en 2023. S'y ajoutent des vols de données médicales et personnelles aux conséquences potentiellement dévastatrices pour les personnes concernées.
Manque d'investissement
L'impact financier de ces attaques est du reste très significatif. La Cour les évalue à une moyenne par hôpital de 10 millions d'euros pour la gestion de crise et 20 millions d'euros pour les pertes de recettes. Elle estime au passage que ces pertes de recettes méritent d'être mieux évaluées, afin de permettre à l'État de calculer des compensations pour les établissements les plus touchés. La vulnérabilité des hôpitaux est accentuée par la complexité de leurs systèmes d'information, un hôpital pouvant compter jusqu'à 1.000 applications interconnectées par établissement pour gérer ses différentes activités (soins, gestion, recherche). Autre facteur aggravant : le sous-investissement chronique dans le numérique et l'obsolescence des équipements. En moyenne, 1,7% du budget des hôpitaux est dédié au numérique, contre 9% dans le secteur bancaire, et 20% des postes de travail et serveurs dans les hôpitaux publics sont hors maintenance car trop anciens.
Réponse tardive du gouvernement
Face à la multiplication des attaques (Brest, Dax, Versailles, CHSF de Corbeilles Essone…) (voir notre article du 6 janvier 2025) le gouvernement a réagi en lançant en 2021 des "parcours cyber" dans le cadre du plan de relance, des audits pilotés par l'Anssi dont ont bénéficié 133 établissements. Lui a succédé fin 2022, le programme "Cyberaccélération et résilience des établissements" (CaRE), doté de 750 millions d'euros sur cinq ans (2023-2027), visant à rattraper le retard des hôpitaux en matière de cybersécurité. Cependant, le financement effectif de CaRe n'est assuré que jusqu'à la fin de 2024 et la pérennité des moyens affectés à la cybersécurité des hôpitaux n'est pas programmée au-delà de 2027.
En matière de gouvernance, elle appelle à une harmonisation des réponses apportées par les agences régionales de santé (ARS) et les groupements régionaux d'appui au développement de l'électronique en santé (GRADeS). Elle suggère aussi de renforcer la convergence des systèmes d'information au sein des 136 groupements hospitaliers de territoires (GHT), dont elle relève la disparité, en mettant l'accent sur la mutualisation des ressources humaines et techniques. Elle préconise la mise en place d'un audit périodique obligatoire pour tous les établissements de santé et insiste sur le renforcement de la formation des professionnels médicaux et paramédicaux, notamment dans les cursus de formation initiale.
L'impact de NIS 2 sous-évalué
La directive européenne NIS 2, sur laquelle le Sénat mène actuellement des auditions dans la perspective de sa transposition (voir notre article du 20 décembre 2024), va lourdement impacter les hôpitaux. Les États disposent cependant de peu de marge de manœuvre pour ajuster son périmètre d'application aux établissements de santé. La Cour estime ainsi que 750 à 800 établissements de santé pourraient être classés comme "entités essentielles" et près de 1.300 – avec potentiellement certains établissements médicosociaux - comme "entités importantes". La Cour souligne que les établissements de santé devront faire face à des charges supplémentaires pour se conformer aux nouvelles exigences européennes. Sa mise en œuvre, alertent les Sages, demandera un accompagnement et des moyens supplémentaires par rapport au programme CaRE, tant pour les établissements concernés que pour l'Anssi et le Cert santé. Et ce, dès 2025.
