Cybersécurité : les fragilités structurelles de la Santé
Par Bertrand Lemaire | Le | Gouvernance
La Cour des Comptes pointe les fragilités du secteur de la santé en matière de cybersécurité, trop souvent structurelles.
La Cour des Comptes ne se contente pas d’examiner la régularité des comptabilités publiques. L’institution de la rue Cambon produit régulièrement des rapports sur l’état des administrations, des services publics voire d’organisations privées soumises à des contrôles spécifiques (associations recourant à des appels de fonds auprès du public, sociétés de gestion collective…) avec un objectif de sain emploi des deniers publics et, au-delà, de bon fonctionnement des services publics. La Cour vient ainsi de publier un rapport sur « La sécurité informatique des établissements de santé ». Celui-ci pointe un certain nombre de faiblesses structurelles même si l’espoir reste permis.
En 2023, selon la Cour s’appuyant sur des données de l’ANSSI, « 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, qu’ils soient publics ou privés. » Historiquement, la première attaque importante a été contre le CHU de Rouen en 2019 mais de nombreux établissements ont été, depuis, victimes, parfois de manière très importante. Outre le coût direct considérable d’un tel incident de cybersécurité (jusqu’à 30 millions d’euros), celui-ci induit des perturbations graves dans la délivrance des soins. Deux caractéristiques font des établissements de santé une cible de choix : la fragilité même des SI concernés d’une part, le grand nombre des ouvertures vers l’extérieur et des interconnexions d’autre part.
Le sous-financement n’est pas une excuse globale
La fragilité des SI de santé est due, bien sûr, à leur complexité. La Cour mentionne ainsi qu’un SI de CHU peut comporter un millier d’applications. Mais le problème principal est bien ailleurs. La Cour dénonce ainsi le « sous-investissement chronique dans le numérique (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements (postes de travail et serveurs ayant un système d’exploitation ne faisant plus l’objet de maintenance, équipements de réseaux et applicatifs « métiers » ne pouvant plus être réparés ou mis à jour) et la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier. »
A partir de 2023, la multiplication des incidents a amené une réaction gouvernementale avec, notamment, un renforcement du rôle de la Délégation du Numérique en Santé (mais la Cour veut sécuriser son financement), une prise en compte du sujet dans les audits et certifications menés par la Haute Autorité de santé et la mise en œuvre d’un programme « Cyberaccélération et résilience des établissements » (CaRE) doté d’un financement de 750 M€ sur cinq ans. Mais les aléas politiques font que, aujourd’hui, ce plan n’est plus financé depuis le 1er janvier 2025. La Cour insiste sur la nécessité de le poursuivre. Devant la rareté des ressources financières et techniques, la mutualisation est une piste essentielle, rendue notamment possible par la création, en 2016, des groupements hospitaliers de territoire (GHT). Mais cette réforme reste insuffisamment aboutie à l’heure actuelle, ce que la Cour dénonce et l’amène à proposer de doter les GHT de la personnalité morale. Enfin, il faut mieux former les personnels de santé à la cybersécurité même si des progrès ont déjà été constatés.
En savoir plus
- Sur le site de la Cour des Comptes : rapport « La sécurité informatique des établissements de santé ».
Hacktiv’Summit 2025
Les thèmes abordés dans ce rapport de la Cour des Comptes seront au centre des travaux de plusieurs ateliers de l’Hacktiv’Summit 2025. Celui-ci, toujours organisé par Républik, aura lieu à Deauville les 11 & 12 février 2025.