Les hôpitaux français n'ont pas été épargnés par les cyberattaques ces derniers mois et années. La Cour des comptes vient de publier un rapport dans lequel elle soulève les graves vulnérabilités informatiques des établissements, outre quelques solutions pour se renforcer.
Les cyberattaques contre les établissements de santé ont explosé ces dernières années. Le rapport de la Cour des comptes, couvrant la période 2019-2023 et dévoilé ce vendredi 3 janvier, dresse un constat alarmant. Imaginez que près de 10% des attaques par rançongiciels en France ciblent les hôpitaux. Plusieurs facteurs expliquent ce chiffre édifiant. On peut citer les systèmes d’information vieillissants, une sensibilisation insuffisante et des budgets numériques limités.
Alors que les conséquences pour les soins et la sécurité des données s’aggravent, les solutions proposées appellent à une mobilisation urgente des acteurs publics et privés. Surtout que, chose à ne pas négliger, les menaces concernent non seulement les hôpitaux, mais aussi les structures médico-sociales. Le défi est tout bonnement immense.
Une explosion des cyberattaques contre les hôpitaux
Il n'est pas question ici de faire du sensationnalisme, simplement de nous approprier le constat fait par la Cour des comptes, et déjà fait par les acteurs de la cyber française depuis déjà longtemps.
Entre 2019 et 2023, les cyberattaques contre les hôpitaux français ont considérablement augmenté, c'est un fait. En 2023 par exemple, neuf attaques majeures ont été recensées, touchant des établissements comme le CHU de Rennes et le CH de Cannes.
Ces intrusions exploitent souvent des failles béantes dans les systèmes d’information, dont la complexité dépasse celle de nombreux autres secteurs. Les attaques proviennent aussi bien de rançongiciels (ransomware, en anglais), que de compromissions de bases de données et de messages malveillants, qui rendent les systèmes hospitaliers plus que vulnérables.
Les hôpitaux sont dotés de systèmes informatiques parfois même pas mis à jour
La plupart des hôpitaux fonctionnent encore avec des équipements informatiques obsolètes. Plus de 20% des postes de travail utilisent des systèmes d’exploitation même pas mis à jour. De quoi faire tomber de sa chaise tout bon expert en cybersécurité !
En moyenne, seulement 1,7% des budgets hospitaliers sont alloués au numérique, bien en deçà des standards d’autres secteurs comme la banque (9%). Ces lacunes techniques et financières amplifient de fait les risques de compromission. Et les investissements actuels ne suffisent pas à compenser l'obsolescence des infrastructures, ce qui laisse les systèmes hospitaliers exposés à des menaces croissantes.
Les cyberattaques perturbent gravement le fonctionnement des hôpitaux. Les interruptions de service obligent parfois même à déprogrammer des soins ou à transférer des patients, ce qui n'est pas sans risque médical.
Lors d’une attaque informatique survenue en novembre 2022, un hôpital de l'hexagone a mis plus d’un an à retrouver son niveau d’activité initial, avec une chute de 20% de son activité en chirurgie et obstétrique. Il lui aura fallu très exactement 18 mois pour reconstruire un système d'information. En outre, la gestion manuelle des soins, imposée par le mode dégradé, a entraîné des retards et des erreurs susceptibles de compromettre la qualité des traitements.
Un fardeau économique, avec des coûts financiers colossaux, et un impact sur la qualité des soins
Les coûts liés aux cyberattaques sont vertigineux. La gestion de crise, la remédiation et les pertes de recettes peuvent atteindre jusqu’à 30 millions d’euros pour un seul établissement. Ces montants, difficilement absorbables, freinent toujours plus les investissements nécessaires à la sécurisation des systèmes. Les fonds régionaux, parfois mobilisés pour soutenir les hôpitaux affectés, ne suffisent plus à garantir une gestion uniforme des crises à l'échelle nationale.
Les cyberattaques compromettent aussi des milliers de dossiers médicaux et personnels, souvent diffusés ou vendus sur le dark web. En 2024, le centre hospitalier de Cannes a subi une fuite de 61 gigaoctets de données, parmi lesquelles des cartes d'identité, des bulletins de salaires, des bilans médicaux et des RIB, tous mis en vente.
Ces violations de la confidentialité exposent les salariés, mais aussi les patients à des risques majeurs, notamment l’usurpation d’identité.
Au-delà des pertes financières et des risques d'arnaque pour les patients et soignants, les attaques informatiques perturbent la continuité des soins. Le passage à des systèmes manuels en mode dégradé allonge les délais de traitement et accroît les risques d’erreurs. Il compromet la qualité des services offerts aux patients. Les professionnels de santé, déjà surchargés, doivent alors composer avec des conditions de travail aggravées, ce qui augmente leur stress et réduit leur efficacité. Un vrai cercle vicieux.
Des pistes émergent pour une meilleure lutte contre la menace cyber
Les pistes pour essayer de se sortir de ce climat de menace permanente ne manquent pas. La Cour des comptes parle notamment du programme CaRE (Cyber Accélération et Résilience des Établissements), lancé en 2023, qui prévoit 750 millions d’euros pour renforcer la cybersécurité des hôpitaux d’ici 2027.
Le programme vise plus particulièrement à améliorer la protection des systèmes critiques, à réaliser des audits réguliers et à préparer les équipes à la gestion de crise. Ces fonds ont aussi pour but de soutenir des initiatives comme la formation des professionnels de santé à la gestion des incidents numériques.
Le rapport insiste sur la formation continue et initiale des professionnels de santé pour renforcer leur sensibilisation au cyber-risque. La Haute Autorité de Santé (HAS) intègre désormais des critères numériques dans la certification des établissements, qui favorisent des audits réguliers pour garantir leur conformité. Les audits sont d'ailleurs parfois menés en collaboration avec l'ANSSI, pour mieux détecter et corriger les vulnérabilités des systèmes.
Il ne faut pas oublier que la cybersécurité n’est pas seulement un impératif technique, mais une condition essentielle pour assurer la qualité et la continuité des soins.
