Cyberattaques : les pistes de la Cour des comptes pour améliorer la résilience des hôpitaux

Par

Publié le 07/01/2025

Article réservé aux abonnés

La Cour des comptes présente dans un rapport l’état de la cybermenace à laquelle les hôpitaux sont confrontés et alerte sur l’obligation de sensibiliser les soignants par la formation.

Crédit photo : BURGER/PHANIE

Comment enrayer la hausse du cyberhacking contre les hôpitaux ? En 2023, 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, qu’ils soient publics ou privés, selon le panorama dressé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Après une série catastrophique en 2023, les centres hospitaliers d’Armentières et de Cannes subissent le même sort en 2024.

Selon la Cour des comptes qui a publié un rapport sur la sécurité informatique des établissements de santé le 3 janvier, les conséquences sont immédiates sur le fonctionnement des établissements de santé : « Les attaques les plus violentes sont le fait de rançongiciels, qui, par le cryptage des données, conduisent à la paralysie du système d’information hospitalier et comportent la menace de divulgation de données de santé et leur revente ». Le CHU de Rennes s’est vu extorquer 300 gigaoctets de données après le vol opéré en juin 2023. Celui de Cannes, le 16 avril 2024, a subi l’exfiltration sur le darkweb de 61 gigaoctets de données personnelles et médicales.

Le retour au papier et au crayon

Les établissements concernés sont obligés souvent de fonctionner en mode dégradé avec « le retour au papier et au crayon », les urgences temporairement fermées, des professionnels de santé incapables d’accéder au dossier patient informatisé (DPI), aux plans de lits, au calendrier de rendez-vous des patients, etc. Les fonctions support comme le logiciel de gestion administrative des malades ou les logiciels de paie du personnel peuvent être mises à l’arrêt. Le Cert Santé (service national de l’Agence du numérique en santé) a recensé 68 mises en danger potentielles en 2023 (contre 71 en 2022), qui ont engendré des risques pour la sécurité des patients ainsi qu’une mise en danger avérée en 2023 (contre 5 en 2022).

Beaucoup de temps et d’argent pour réparer

Pour un hôpital attaqué, la gestion de crise et la remédiation peuvent coûter jusqu’à 10 millions d’euros et la perte de recette d’exploitation due à l’incident peut s’élever jusqu’à 20 millions d’euros. Pour se remettre d’une cyberattaque, « un délai de 18 mois a été nécessaire à un centre hospitalier disposant de 800 lits et places et accueillant 35 500 séjours en hospitalisation complète dans le champ médecine, chirurgie, obstétrique (MCO) pour reconstruire son système d’information ». L’incident ayant eu lieu en novembre 2022, l’activité MCO n’a pas retrouvé son niveau initial à la fin du mois de février 2024.

Estimation des coûts et des pertes de recettes provoqués par cinq cyberattaques intervenues entre 2021 et 2024, selon les informations rendues publiques par les hôpitaux.

Cette situation de fragilisation des établissements de santé provient d’un sous-investissement chronique. Dans les hôpitaux publics, près de 20 % des postes de travail ont plus de sept ans et 23 % de leurs équipements de réseau ne peuvent plus être mis à jour ou réparés en cas de panne.

Obsolescence des équipements numériques des établissements de santé

Ces établissements consacrent 1,7 % de leur budget d’exploitation à leur système d’information par rapport à leur budget total. Cet effort paraît très réduit, comparativement à d’autres secteurs économiques comme la banque (9 %) ou les Télécom (5,5 %). Pourtant, la feuille de route du numérique en santé 2023-2027 fixe un objectif de 2 %.

Former les utilisateurs hospitaliers à la cybersécurité

L’autre cause de la vulnérabilité des systèmes d’information hospitaliers est le comportement des utilisateurs. La montée en charge pour améliorer les pratiques est progressive et lente. Des modules ont été rendus obligatoires pour 14 formations dans le premier cycle de la formation initiale médicale et paramédicale à la rentrée 2024.

Parmi ses recommandations, la Cour préconise une meilleure évaluation en cas de cyberattaques via un groupe national d’expertise et une dispense de codification a posteriori pour les établissements cyberattaqués. La mise en place d’un audit périodique obligatoire devra être prise en compte dans le financement à la qualité et certifié par la Haute Autorité de santé. Enfin le programme Care*, lancé fin 2023 par le gouvernement, devra être conduit à son terme. Le financement de ce programme (750 millions d’euros au total) est couvert jusqu’en 2025 à hauteur de 233 millions d’euros. Mais il n’est toujours pas financé au-delà de 2024. La Cour demande à le pérenniser en l’intégrant à l’Objectif national de dépenses de l’Assurance-maladie (Ondam).