Cybersécurité : l’inquiétant rapport de la Cour des comptes sur les hôpitaux 

En arrière-plan des soins médicaux, une menace invisible gagne du terrain : les cyberattaques. Si elles paralysent parfois les systèmes pendant des mois, leurs conséquences dépassent le domaine technique, touchant à la fois la gestion des établissements et la sécurité des patients.

Un secteur de la santé aussi sous la pression numérique

Les établissements de santé français, publics comme privés, subissent une pression croissante liée à la menace cyber. En 2023, 10 % des victimes d'attaques par rançongiciels (des logiciels malveillants bloquant les ordinateurs) en France étaient des hôpitaux. Ces attaques, souvent destructrices, visent les bases de données, les codes confidentiels et exploitent des logiciels obsolètes pour infiltrer les systèmes. Parmi les cas emblématiques, l’hôpital André Mignot, situé au Chesnay, juste à côté de Versailles, a mis 18 mois à rétablir son système après une attaque, entraînant une chute de 20 % de son activité.
La Cour des comptes souligne que la cybersécurité est devenue une priorité pour garantir à la fois la protection des données médicales et la continuité des soins. Cependant, les investissements restent insuffisants : en moyenne, seulement 1,7 % des budgets hospitaliers sont alloués au numérique, bien loin des 9 % observés dans le secteur bancaire.

Les conséquences des cyberattaques sur les hôpitaux dépassent largement les seuls dysfonctionnements techniques. En moyenne, « le coût pour un hôpital peut atteindre 10 M€ pour la gestion de la crise et la remédiation et 20 M€ pour la perte de recettes d’exploitation », selon la Cour des comptes. Les interruptions de service, particulièrement aux urgences, entraînent des déprogrammations de soins, des transferts de patients et parfois des séquelles irréversibles.
En 2023, la Cour des comptes a relevé 68 cas de "mise en danger potentielle" et un cas de "mise en danger avérée" dus à des cyberattaques. De plus, les vols de données médicales, souvent revendues sur le dark web, exposent les patients à des risques de fraude et de violation de leur vie privée.

Une réponse gouvernementale aux hôpitaux en demi-teinte

Face à ces menaces, le programme "Cyberaccélération et résilience des établissements" (CaRE) a été lancé en 2023, prévoyant un financement de 750 millions d’euros jusqu'en 2027. Toutefois, selon la Cour des comptes, seulement 223 millions d’euros ont été mobilisés à ce jour, et le financement n'est garanti que jusqu’à la fin de 2024.
La directive européenne NIS 2, entrée en vigueur en octobre 2024, mais actuellement en cours de transposition tardive dans le droit français, impose de nouvelles obligations de cybersécurité aux "entités essentielles" et "importantes", incluant potentiellement plus de 2 000 établissements de santé français. Ces nouvelles exigences, bien que nécessaires, risquent d’alourdir encore la charge financière des hôpitaux déjà sous-dotés.

Pour répondre aux défis actuels, la Cour des comptes recommande des actions fortes :

• Audits réguliers : Imposer des évaluations périodiques de la sécurité informatique dans tous les établissements de santé.
• Mutualisation des ressources : Encourager une convergence des systèmes d’information entre les groupements hospitaliers de territoire (GHT).
• Formation des professionnels : Intégrer la cybersécurité dans les cursus des professionnels de santé pour renforcer les compétences internes.
• Pérennisation des financements : Garantir la continuité du programme CaRE au-delà de 2027 et aligner les budgets sur les besoins croissants.

Ces mesures, associées à un accompagnement renforcé des autorités publiques, pourraient permettre de sécuriser durablement les infrastructures numériques des hôpitaux.