Cyberattaques sur les hôpitaux publics : les recos de la Cour des comptes

La cybermenace est "en constante augmentation, dans un contexte de fortes tensions géopolitiques", alerte la Cour des comptes dans un rapport publié ce vendredi 3 janvier. Selon l'Agence nationale de la sécurité des systèmes d'information (Anssi), 30 hôpitaux français ont fait l'objet d'une cyberattaque par rançongiciel en 2022 et 2023. La Cour des comptes indique toutefois que "malgré l’obligation à laquelle sont astreints les établissements de santé, les incidents de cybersécurité ne sont pas tous déclarés". Ces chiffres pourraient, ainsi, être revus à la hausse.

Dans sa feuille de route du numérique en santé, le Gouvernement d’Élisabeth Borne avait alors mis en place le programme "Cyberaccélération et résilience des établissements" (CaRE). Il "prévoit un plan de financement de 750 millions d’euros en faveur de la sécurité des systèmes d’informations sur cinq ans, de 2023 à 2027". Mais "cet engagement financier n'est assuré que jusqu'à la fin de l'année 2024", avertit la Cour des comptes. "Il est indispensable qu'il soit poursuivi jusqu'au terme du programme", insiste-t-elle. Car pour l’heure, il n’a été couvert qu'"à hauteur de 223 millions d’euros".

 

"Sous-investissement chronique dans le numérique"

Pour la Cour des comptes, la fragilité des systèmes d’information hospitaliers s'explique notamment par le "sous-investissement chronique dans le numérique". Elle indique qu’en moyenne, seul "1,69% du budget d’exploitation" est dédié aux dépenses informatiques, contre 9% en moyenne dans le secteur de la banque. Pourtant, près de "20% des équipements (postes de travail, serveurs, équipements de réseaux et applicatifs 'métiers')" sont "obsolètes", ajoute-t-elle.

Face à ce manque d’investissement, la Cour des comptes recommandait notamment la "mutualisation" des établissements de santé. En 2016, elle se réjouissait de la création des Groupements hospitaliers de territoire (GHT), mais aujourd’hui, leur "convergence […] demeure très inégale par manque d’impulsion locale et nationale". Elle suggère de doter chaque GHT d’une "personnalité morale" qui aura la mission de "rendre effective la convergence technique des systèmes d’information des établissements publics de santé".

D’autant que lorsqu’un établissement est attaqué, les conséquences sont lourdes. D’après des évaluations réalisées sur les hôpitaux victimes, le coût estimé pour gérer la crise pourrait s’élever à "10 millions d’euros", auquel il faut ajouter "20 millions d’euros pour la perte de recettes d’exploitation", révèle le rapport. Ces sommes ne prennent, cependant, pas en compte "les potentielles conséquences financières du vol et de la publication de masses de données". Ainsi, la Cour des comptes demande la création d’un groupe d’expertise à l’échelle nationale qui, en cas de cyberattaques d’ampleur exceptionnelle, devra "évaluer les pertes de recettes à compenser", "aujourd’hui difficiles à évaluer".

 

Des audits obligatoires et périodiques

Pour éviter ces attaques, des programmes de financement ministériels encouragent les établissements de santé à réaliser des audits sur la cybersécurité. La Cour des comptes appelle à une "unification de cette démarche à l’échelle nationale, en lui conférant un caractère obligatoire et périodique". Elle entend "apporter une assurance externe sur la sécurisation des systèmes d’information". Ces audits seraient pris en compte au sein du "dispositif d’incitation à la qualité et dans la certification par la HAS".

La Cour des comptes demande enfin la fin de "l’utilisation d’un fonds de concours pour le financement de la Délégation au numérique en santé (DNS)". Elle déplore un financement "complexe" et qui "n’est pas sécurisé puisqu’il émane du complément budgétaire issu du 'Ségur du numérique' dont les crédits s’éteindront à la fin 2025". Elle recommande un financement qui soit plutôt "assuré à partir de crédits budgétaires".