En 2023, 10 % des victimes de cyberattaques en France étaient des établissements de santé. Si le niveau de protection s’est nettement amélioré ces dernières années, en parallèle d’une menace croissante, l’effort doit se poursuivre, pointe la Cour des comptes, qui dresse un état des lieux et publie des recommandations. Synthèse des auteurs.
La cybermenace (1) est en constante augmentation, dans un contexte de fortes tensions géopolitiques. Le secteur de la santé, et les hôpitaux en particulier, sont affectés par ces attaques qui peuvent entraîner des conséquences graves sur le fonctionnement des établissements de santé et sur la continuité et la qualité des soins. Dans un document mis en ligne début janvier, la Cour des comptes (CC) dresse un état des lieux de cette menace et émet 5 recommandations, fin de poursuivre la dynamique engageé récemment pour les pouvoirs publics.
La vulnérabilité des hôpitaux
En 2023, selon les données de l’Agence nationale de la sécurité des systèmes d’information (Anssi), sur le territoire français, 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, qu’ils soient publics ou privés. La première attaque informatique d’envergure a concerné le CHU de Rouen en novembre 2019. En 2023, neuf attaques majeures ont été identifiées et la plus récente a touché le CH de Cannes en avril 2024. Les menaces qui affectent les hôpitaux prennent principalement la forme de « compromissions » du système d’information, c’est-à-dire de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels, ces derniers étant les plus destructeurs.
La vulnérabilité des systèmes d’information des hôpitaux et leur interconnexion accrue avec des systèmes d’information extérieurs les placent au troisième rang des secteurs les plus touchés, après les collectivités territoriales et les entreprises, des plus petites d’entre elles à celles de taille intermédiaire. La fragilité des systèmes d’information hospitaliers tient à leur complexité croissante, mesurée en nombre d’applications, sans équivalent dans d’autres secteurs d’activité (jusqu’à 1 000 applications pour les CHU les plus importants) et au sous-investissement chronique dans le numérique (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements (postes de travail et serveurs ayant un système d’exploitation ne faisant plus l’objet de maintenance, équipements de réseaux et applicatifs « métiers » ne pouvant plus être réparés ou mis à jour) et la prise en compte insuffisante des enjeux de cybersécurité par le personnel hospitalier.
Malgré l’obligation à laquelle sont astreints les établissements de santé en la matière, les incidents de cybersécurité qui les affectent ne sont pas tous déclarés, faute de compétence interne suffisante en matière de cybersécurité mais, aussi sans doute, par crainte de retombées médiatiques et réputationnelles.
Les conséquences graves des cyberattaques
Les cyberattaques ont des effets directs sur le fonctionnement des établissements de santé et sur la prise en charge des patients tels que des interruptions de service pouvant durer plusieurs mois et le vol de données médicales et personnelles. Ces effets peuvent se cumuler. En outre, de nombreux dysfonctionnements opérationnels, logistiques ou encore financiers affectent les structures confrontées à de telles attaques.
Selon les évaluations réalisées par des hôpitaux victimes de cyberattaques, le coût pour un hôpital peut atteindre 10 M€ pour la gestion de la crise et la remédiation et 20 M€ pour la perte de recettes d’exploitation. Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé. L’arrêt du fonctionnement de services médicaux peut en outre entraîner la déprogrammation de prises en charge et, dans certains cas, le transfert de patients vers d’autres hôpitaux avec, nécessairement, des risques à court et à moyen terme sur la continuité et sur la qualité des soins (séquelles, perte de chances…), risques ou conséquences effectives non mesurés aujourd’hui.
A titre d’illustration, un délai de 18 mois a été nécessaire à un centre hospitalier disposant de 800 lits et places et accueillant 35 500 séjours en hospitalisation complète dans le champ « médecine, chirurgie et obstétrique » (MCO) pour reconstruire son système d’information ; l’activité d’hospitalisation MCO de cet établissement, qui a chuté de plus de 20 % après l’attaque, n’avait pas encore retrouvé son niveau de novembre 2022 à la fin du mois de février 2024.
Les pertes d’exploitation et les coûts de remise en état des systèmes d’information des établissements de santé attaqués sont supportés par les établissements de santé ; ceux-ci bénéficient souvent d’aides financières attribuées par les agences régionales de santé mais de manière non systématique et d’une ampleur variable selon les régions.
Une réponse tardive mais résolue des pouvoirs publics nationaux
Le ministère chargé de la santé a clarifié la gouvernance nationale du numérique en santé en en confiant la responsabilité à la délégation au numérique en santé (DNS), érigée en direction d’administration centrale en mai 2023. Face à l’émergence des premières cyberattaques, un financement destiné à la sécurité informatique a été institué et la certification des hôpitaux par la Haute Autorité de santé comprend désormais un volet relatif à la sécurité informatique.
La DNS pilote la « feuille de route du numérique en santé 2023-2027 » dont le volet cybersécurité, mis en œuvre par l’agence du numérique en santé (ANS), prévoit un programme de financement sur cinq ans ayant pour objectif de rattraper le sous-investissement numérique des hôpitaux.
Le programme « Cyberaccélération et résilience des établissements » (CaRE) prévoit un financement de 750 M€ en faveur de la sécurité des systèmes d’information sur cinq ans (de 2023 à 2027). Toutefois, cet engagement financier n’est assuré que jusqu’à la fin de l’année. Il est indispensable qu’il soit poursuivi jusqu’au terme du programme.
Au-delà de 2027, échéance de l’actuelle feuille de route du numérique en santé, le financement par les établissements de santé de l’élévation de leur cyberprotection devra être poursuivi, d’autant plus que les exigences s’élèvent.
Pour faire face au développement de la cybermenace à l’échelle européenne, un nouveau cadre juridique visant à assurer un niveau commun sensiblement plus élevé de cybersécurité dans l’ensemble de l’Union a été défini. Ainsi, la directive européenne NIS 2 (Network and Information Security), adoptée le 14 décembre 2022, élargit le champ des établissements soumis à régulation et relève le niveau d’exigence de leur protection. Cette directive n’était pas
encore transposée en droit français le 17 octobre 2024, échéance du délai laissé aux Etats membres pour y procéder.
La Haute Autorité de santé (HAS) a complété son référentiel de certification en renforçant les critères de cybersécurité et en recrutant des experts visiteurs numériques à partir de 2024, contribuant ainsi à renforcer les actions en faveur de la sécurité informatique dans les établissements. Les hôpitaux s’inscrivent en parallèle dans une dynamique d’amélioration continue en faisant réaliser des audits thématiques encouragés par les programmes de financement ministériels. Une unification de cette démarche d’audit à l’échelle nationale, en lui conférant un caractère obligatoire et périodique, pourrait apporter une assurance externe sur la sécurisation des systèmes d’information et enrichir la certification par la HAS sur le volet technique.
Des actions à prolonger pour mieux préparer les hôpitaux
La création en 2016 des groupements hospitaliers de territoire (GHT) avait pour objectif de renforcer la coopération entre les établissements publics de santé afin d’améliorer l’efficacité et la qualité des soins tout en rationalisant la consommation des ressources. Huit ans plus tard, la convergence qui était attendue des 136 GHT, notamment, en
matière de systèmes d’information, demeure très inégale par manque d’impulsion locale et nationale. La construction d’un environnement numérique unifié et sécurisé, favorable à la coopération entre établissements publics, à l’amélioration de la qualité des soins et à l’optimisation des ressources financières et humaines doit donc être poursuivie et accélérée au vu des menaces auxquelles les hôpitaux sont confrontés. Doter les groupements hospitaliers de territoire de la personnalité morale serait un facteur déterminant pour atteindre cet objectif.
La meilleure prise en compte par les professionnels de santé du cyber-risque passe, certes, par la formation continue mais aussi et surtout par la formation initiale dans laquelle le numérique est jusqu’à présent absent. Sur l’initiative de la DNS qui pilote les actions de formation au numérique en santé des professionnels de santé, en relation avec le ministère de l’enseignement supérieur, des modules obligatoires de formation au numérique sont intégrés, à compter de la rentrée 2024, dans le premier cycle des formations initiales médicales et paramédicales.
Les recommandations
• Mettre en place un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle,
d’évaluer les pertes de recettes à compenser et, pour les établissements les plus gravement affectés, de proposer une dispense de codification a posteriori de leur activité hospitalière.
• Mettre fin à l’utilisation d’un fonds de concours pour le financement de la Délégation au numérique en santé.
• Conduire à son terme le programme CaRE.
• Mettre en place un audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le dispositif d’incitation à la qualité et dans la certification par la Haute Autorité de santé.
• Doter les groupements hospitaliers de territoire de la personnalité morale.
1– Selon l’Annsi, la cybermenace est définie comme « tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes »
• La sécurité informatique des établissements de santé, Un renforcement récent et à poursuivre, face à la multiplication des cyberattaques. Observations définitives, exercices 2019 à 2023, en téléchargement sur le site de la CC.
