Le 3 janvier 2025, la Cour des comptes a publié un rapport sur la cybersécurité des établissements de santé français, dévoilant une situation assez inquiétante. En dépit des efforts amorcés ces dernières années, les hôpitaux restent vulnérables face aux cyberattaques.
Hôpitaux : la Cour des comptes alerte sur leur cybersécurité
Hôpitaux : une exposition grandissante aux cyberattaques
Selon le rapport de la Cour des comptes, en 2023, 10 % des cyberattaques en France ont visé des établissements de santé, plaçant ce secteur parmi les trois plus touchés après les PME et les collectivités territoriales. Ces attaques, principalement des rançongiciels, causent des interruptions majeures, comme le montre le cas de l’hôpital André Mignot, au Chesnay, dans les Yvelines. Ce dernier a mis 18 mois à rétablir son système après une attaque en décembre 2022, avec une perte d’activité estimée à 20 %.
Les interruptions provoquées par ces attaques touchent des secteurs vitaux comme les urgences et la radiologie, parfois pendant plusieurs mois. En 2023, 68 cas de « mises en danger potentielles » et un cas de « mise en danger avérée » ont été enregistrés, selon la Cour. Les coûts financiers sont également astronomiques : en moyenne, 10 millions d’euros pour gérer la crise et 20 millions d’euros pour les pertes de revenus par hôpital.
Des systèmes informatiques obsolètes et sous-financés
La complexité des systèmes d’information hospitaliers, qui peuvent compter jusqu’à 1 000 applications interconnectées dans les CHU, aggrave les failles. Selon le rapport, 20 % des postes de travail et serveurs hospitaliers sont hors maintenance, et seulement 1,7 % des budgets d’exploitation sont consacrés au numérique, contre 9 % dans le secteur bancaire.
Le programme CaRE (Cyberaccélération et résilience des établissements), lancé en 2023, visait à combler ce retard avec un financement de 750 millions d’euros sur cinq ans. Cependant, seuls 223 millions d’euros ont été mobilisés à ce jour, et l’engagement financier n’est garanti que jusqu’à fin 2024. La Cour des comptes insiste sur la nécessité de prolonger ces financements au-delà de 2027 pour répondre aux défis à long terme.
La directive européenne NIS 2 : une mise en conformité difficile
Entrée en vigueur en octobre 2024, la directive NIS 2 impose aux hôpitaux français de respecter des normes strictes en matière de cybersécurité. La Cour estime que 750 à 800 établissements seront classés comme « entités essentielles », et environ 1 300 comme « entités importantes ». Ces nouvelles obligations impliquent des investissements massifs que beaucoup d’hôpitaux ne sont pas en mesure d’assumer sans un soutien renforcé.