Un rapport de la Cour des comptes française sur la situation cyber-sécuritaire des hôpitaux
publié le 7 janvier 2025
Un récent rapport de au sujet de la sécurité informatique des établissements de santé revient, chiffre, commente et formule des recommandations afin de cartographier et de favoriser une meilleure protection contre un phénomène croissance de (cyber-)vulnérabilité des hôpitaux de l’Hexagone (constats et recommandations qui sont potentiellement valables pour les établissements dans les autres pays).
En 2023, le secteur hospitalier a représenté pas moins 10% des victimes de cyberattaques en France, ce qui le hissait à la troisième place des secteurs les plus touchés outre-Quiévrain. Et encore ce chiffre risque-t-il d’être sous-évalué étant donné que (comme d’ailleurs dans d’autres secteurs) “les incidents de cybersécurité qui les affectent ne sont pas tous déclarés, faute de compétence interne suffisante en matière de cybersécurité mais, aussi sans doute, par crainte de retombées médiatiques et réputationnelles”.
”Les menaces qui affectent les hôpitaux prennent principalement la forme de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels, ces derniers étant les plus destructeurs.”
Diagnostic : les faiblesses et vulnérabilités sont essentiellement provoquées par
- – une “fragilité et complexité croissante des systèmes d’information hospitaliers (jusqu’à 1.000 applications pour les CHU les plus importants)”
- – “l’obsolescence de plus de 20 % des équipements”
- – une “prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier”
- – un manque d’investissement, phénomène qualifié de “chronique” (“1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation”).
Or, les conséquences peuvent être énormes. Sans compter les risques pour la santé et la prise en charge correcte des patients (équipements et services indisponibles, report d’opérations ou de diagnostic, soins non administrés, panne d’équipements…), les conséquences purement financières pèsent lourd dans la balance.
Voici les chiffres avancés dans le rapport de la Cour des Comptes française : “le coût pour un hôpital peut atteindre 10 millions d’euros pour la gestion de la crise et la remédiation et 20 millions d’euros pour la perte de recettes d’exploitation” (il s’agit là d’estimations des établissements touchés par des incidents).
Et ce bilan ne tient pas compte des “potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé.”
“Un délai de 18 mois a été nécessaire à un centre hospitalier disposant de 800 lits et places et accueillant 35.500 séjours en hospitalisation complète dans le champ “Médecine, chirurgie et obstétrique” pour reconstruire son système d’information.”
Recommandations formulées dans le rapport ? Notamment :
- – amélioration et accélération de la formation tant initiale que continue de tous les membres du personnel hospitalier
- – “construction d’un environnement numérique unifié et sécurisé, favorable à la coopération entre établissements publics, à l’amélioration de la qualité des soins et à l’optimisation des ressources financières et humaines”
- – “mise en place d’un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser”
- – réalisation d’“un audit périodique obligatoire pour tous les établissements de santé”
- – basculement des groupements hospitaliers de territoire vers la personnalité morale.
La situation française a certes pris une ampleur notable mais les établissements hospitaliers belges, on le sait, n’ont pas été épargnés.
Voici un tableau, établi par l’ENISA (agence européenne pour la cybersécurité), qui compare la situation cyber-sécuritaire du secteur hospitalier dans les différents pays européens.
Plus de détails sur la situation et les recommandations en matière de cybersécurité dans le rapport de la Cour des Comptes.
Source: Rapport “La sécurité informatique des établissements de santé” de la Cour des Comptes.