“En 2023, selon les données de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), sur le territoire français, 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, qu’ils soient publics ou privés“, constatent les magistrats de la Cour des comptes dans leur rapport “La sécurité informatique des établissements de santé“
Les établissements disposent de plusieurs faiblesses majeures qui les rendent vulnérables aux cyberattaques. Leur SI est complexe. Il est composé, pour les plus importants, de plus de 1000 applications.
Par ailleurs, les hôpitaux investissent faiblement. Ils ne mobilisent que 1,7 % du budget d’exploitation, contre 9 % pour les banques, par exemple. “L’obsolescence des équipements est également importante et atteint 20 % des équipements (postes de travail et serveurs ayant un système d’exploitation ne faisant plus l’objet de maintenance, équipements de réseaux et applicatifs « métiers » ne pouvant plus être réparés ou mis à jour)“.
Il faut noter aussi “la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier“. Les établissements ne disposent pas suffisamment de compétences internes pour faire face aux cyberattaques.
Des conséquences dramatiques
Le rapport fournit une estimation précise des coûts. “Le coût pour un hôpital peut atteindre 10 M€ pour la gestion de la crise et la remédiation et 20 M€ pour la perte de recettes d’exploitation. Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé“, soulignent les auteurs.
Pire, “l’arrêt du fonctionnement de services médicaux peut en outre entraîner la déprogrammation de prises en charge et, dans certains cas, le transfert de patients vers d’autres hôpitaux avec, nécessairement, des risques à court et à moyen terme sur la continuité et sur la qualité des soins (séquelles, perte de chances…), risques ou conséquences effectives non mesurés aujourd’hui“.
La cour fournit un cas précis pour illustrer ses propos et décrire la situation alarmante. “Un délai de 18 mois a été nécessaire à un centre hospitalier disposant de 800 lits et places et accueillant 35 500 séjours en hospitalisation complète dans le champ « médecine, chirurgie et obstétrique » (MCO) pour reconstruire son système d’information ; l’activité d’hospitalisation MCO de cet établissement, qui a chuté de plus de 20 % après l’attaque, n’avait pas encore retrouvé son niveau de novembre 2022 à la fin du mois de février 2024.
Les réglementations nécessaires vont alourdir les coûts
Concernant NIS2, la Cour estime que près de 1 300 établissements seraient classés en entités importantes et l’ANS et la DNS confirment la hausse massive du nombre
d’établissements de santé appelés à être classés comme entités essentielles. Les coûts liés à la mise en conformité seront importants, bien que non évalués, notamment dans l’étude d’impact du projet de loi de transposition actuellement en cours. Les besoins en accompagnement et en solutions seront également importants.
Faisant écho aux nouvelles réglementations, les magistrats soulignent également que “le marquage « CE » ne garantit pas complètement la sécurité des dispositifs médicaux connectés“. Les établissements soumis aux marchés publics doivent impérativement intégrer des clauses complémentaires pour améliorer la sécurité. “Le problème ne devrait pas être résolu par le « Cyber Resilience Act »… car les dispositifs médicaux seraient exclus de son champ d’application au motif que ces derniers répondent à une réglementation spécifique“.
Les 5 recommandations de la Cour
Recommandation n° 1 – (DGOS, Cnam) Mettre en place un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser et, pour les établissements les plus gravement affectés, de proposer une dispense de codification a posteriori de leur activité hospitalière.
Recommandation n° 2 – (SGMAS) Mettre fin à l’utilisation d’un fonds de concours pour le financement de la Délégation au numérique en santé.
Recommandation n° 3 – (SGMAS, DNS, ANS) Conduire à son terme le programme « Cyberaccélération et résilience des établissements » (CARE).
Recommandation n° 4 – (DNS, ANS, DGOS, HAS, ANSSI) Mettre en place un audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le dispositif d’incitation à la qualité et dans la certification par la HAS.
Recommandation n° 5 – (DGOS, DNS, ANS) Doter les groupements hospitaliers de territoire de la personnalité morale.