Les cyberattaques peuvent avoir un impact financier démesuré sur les hôpitaux victimes de hackers. En France, certains ont perdu des millions d'euros, et mettent des mois, voire des années à s'en remettre.
Un hôpital frappé par une cyberattaque, cela peut coûter très, très cher. Des attaques informatiques peuvent même faire perdre jusqu'à 20 millions d'euros à certains établissements hospitaliers. Entre la lourde reconstruction des systèmes et l'importante perte d'activité, la Cour des comptes a fait le bilan d'une facture qui s'alourdit dangereusement.
Les frais de gestion de crise, la reconstruction des systèmes d'information et les pertes de recettes liées à la paralysie partielle des services ont pour les hôpitaux français de considérables impacts financiers, qui mettent en péril leur stabilité économique.
Des cyberattaques qui génèrent des coûts supplémentaires sur tout un tas d'activités différentes pour les hôpitaux
Lorsqu'il subit une attaque informatique, un hôpital est financièrement mis à terre. Parmi les frais principaux, on peut citer le recrutement de personnel temporaire, notamment des techniciens informatiques en CDD, qui s'avère indispensable pour maintenir une continuité d'activité en mode dégradé. Les heures supplémentaires, elles, s'accumulent, pendant que des prestataires externes spécialisés en sécurité interviennent pour identifier les failles, et reconstruire les systèmes.
La reconstruction du réseau justement et la remise en service des différents logiciels représentent aussi un poste de dépenses majeur. Les établissements doivent souvent faire appel à des sous-traitants pour les aider à maintenir certaines activités essentielles, comme les analyses de laboratoire. Le centre hospitalier de Dax, par exemple, a ainsi dû débourser 2,3 millions d'euros en 2021 pour sa remédiation, tandis que celui d'Arles a dépensé 750 000 euros en 2022.
En 2024, le CH d'Armentières a estimé le coût total de sa cyberattaque à 2 millions d'euros. Les montants sont déjà colossaux, vous le voyez. Ajoutez à cela la communication de crise, qui génère aussi des frais substantiels. On y retrouve l'envoi de courriers aux patients et au personnel concernés par les fuites de données, les communiqués de presse, et la gestion des relations publiques.
Le centre hospitalier Sud-Francilien a notamment dépensé 1 million d'euros rien que pour informer les victimes de la violation de leurs données. L'établissement a dû gérer la fuite de 11 gigaoctets de données sensibles, tandis que le CH d'Armentières a vu 10 gigaoctets de données concernant 230 000 patients dérobés début 2024.
Des pertes colossales, qui peuvent se chiffrer en dizaines de millions d'euros
Une cyberattaque qui entraîne la paralysie partielle des services hospitaliers occasionne aussi une chute significative des recettes. Les établissements se voient contraints de déprogrammer des interventions et de fermer temporairement certains services. Le centre hospitalier de Versailles a ainsi enregistré une perte de 20 millions d'euros de recettes suite à sa cyberattaque en 2022 !
La facturation des actes médicaux devient également problématique. Sans système informatique opérationnel, les hôpitaux peinent à transmettre leurs données à l'Assurance Maladie. Et bien que des dispositifs d'avances remboursables existent, la recodification a posteriori de l'activité représente une charge de travail considérable. Un établissement a par exemple été contraint de ressaisir six mois d'activité.
D'un point de vue géographique, la Cour des comptes note que la reprise d'activité s'avère plus difficile dans les zones rurales et les petites villes. Les transferts de patients vers d'autres établissements ne compensent pas toujours les pertes d'activité, notamment pour les consultations et interventions programmées.
Tout cela souligne la nécessité d'un soutien financier national plus structuré, au-delà des aides régionales ponctuelles comme le Fonds d'Intervention Régional, qui a partiellement couvert les coûts pour certains établissements.
