CYBERSÉCURITÉ HOSPITALIÈRE • En 2022 et 2023, trente hôpitaux français ont été ciblés par des cyberattaques au rançongiciel. Face à cette menace croissante, la Cour des comptes lance un signal d’alarme dans un rapport publié vendredi. Elle exprime ses inquiétudes quant au financement du programme de renforcement de la cybersécurité des hôpitaux, initié en 2023 par le gouvernement Borne à la suite d’une série d’attaques particulièrement dévastatrices.
Statistiques sur la Cybersécurité Hospitalière
- Proportion des attaques visant les hôpitaux :
En 2023, 10 % des victimes de cyberattaques en France étaient des établissements de santé, selon l’ANSSI. - Rançongiciels :
Entre 2022 et 2023, 30 hôpitaux français ont été touchés par des rançongiciels, entraînant des perturbations majeures. - Durée moyenne d’interruption des services :
Après une attaque majeure, un hôpital met en moyenne 18 mois pour reconstruire entièrement son système d’information. - Coût moyen d’une cyberattaque :
- Gestion de la crise et remise en état : jusqu’à 10 millions d’euros.
- Perte de revenus d’exploitation : jusqu’à 20 millions d’euros.
- Obsolescence des équipements hospitaliers :
Plus de 20 % des équipements informatiques hospitaliers sont obsolètes, ce qui accroît leur vulnérabilité. - Budget consacré au numérique dans les hôpitaux :
En moyenne, les hôpitaux consacrent 1,7 % de leur budget d’exploitation au numérique, contre 9 % dans le secteur bancaire. - Incidents de cybersécurité non déclarés :
Une proportion significative des incidents n’est pas signalée, souvent par manque de compétences internes ou par crainte de dommages réputationnels.
Suggestions d’amélioration pour la cybersécurité hospitalière
- Augmenter les budgets dédiés au numérique pour atteindre les standards des secteurs plus avancés.
- Former systématiquement le personnel médical et administratif à la cybersécurité.
- Établir un audit national obligatoire et périodique pour évaluer les systèmes de sécurité.
- Déployer des solutions de cybersécurité avancées, notamment des logiciels d’intelligence artificielle pour détecter les intrusions, mise en place de Micro Soc Managé et Soc .
Table du contenu Cybersécurité Hospitalière
La sécurité informatique dans les établissements de santé
Un secteur sous la menace des cyberattaques
En 2023, 10 % des cyberattaques recensées en France ont ciblé des établissements de santé. Cette vulnérabilité s’explique par l’interconnexion croissante de leurs systèmes d’information avec des réseaux extérieurs, combinée à un sous-investissement chronique dans les technologies numériques. Ces attaques, qui peuvent gravement perturber le fonctionnement des hôpitaux et la prise en charge des patients, ont poussé les pouvoirs publics à réagir tardivement en lançant un programme de prévention et de protection financé sur cinq ans. Cependant, ces efforts doivent être poursuivis pour renforcer durablement la sécurité des hôpitaux.
Une exposition accrue des hôpitaux & Cliniques
D’après l’Agence nationale de la sécurité des systèmes d’information (Anssi), 10 % des attaques par rançongiciels en France en 2023 ont visé des hôpitaux, publics ou privés. Depuis la première attaque majeure contre le CHU de Rouen en novembre 2019, le phénomène s’est amplifié, avec neuf attaques significatives en 2023, dont la plus récente a touché le Centre Hospitalier de Cannes en avril 2024.
Les hôpitaux sont principalement victimes de compromissions de systèmes, incluant des violations de bases de données, des piratages de codes d’accès confidentiels, des courriels malveillants, et surtout des rançongiciels, particulièrement destructeurs. Cette exposition les place en troisième position parmi les secteurs les plus touchés, après les collectivités territoriales et les entreprises.
La complexité des systèmes hospitaliers (jusqu’à 1 000 applications pour les plus grands CHU), le faible investissement en numérique (1,7 % des budgets d’exploitation contre 9 % dans le secteur bancaire) et l’obsolescence des équipements (20 % des postes et serveurs non maintenus) amplifient leur fragilité. De plus, la sensibilisation insuffisante du personnel hospitalier aux enjeux de cybersécurité aggrave cette situation.
Les conséquences des attaques sur les établissements
Les cyberattaques ont des répercussions graves et immédiates sur le fonctionnement des hôpitaux. Elles provoquent des interruptions de services pouvant durer des mois, le vol de données médicales et personnelles, ainsi que des perturbations logistiques et financières.
Le coût moyen d’une cyberattaque pour un hôpital atteint jusqu’à 10 millions d’euros pour gérer la crise et remettre le système en état, et 20 millions d’euros pour compenser la perte d’exploitation. Ces montants n’incluent pas les dommages liés à la divulgation de données sensibles. Par ailleurs, les interruptions de services peuvent entraîner des déprogrammations de soins, des transferts de patients vers d’autres établissements, et des risques accrus pour la continuité et la qualité des soins, avec des conséquences encore mal évaluées.
Par exemple, un hôpital de 800 lits, fortement affecté par une attaque, a mis 18 mois à reconstruire son système d’information. Son activité d’hospitalisation en médecine, chirurgie et obstétrique avait chuté de 20 % et n’était pas revenue à son niveau de novembre 2022 en février 2024.
Des réponses encore insuffisantes
Les établissements de santé supportent généralement seuls les coûts de remise en état après une attaque, même si des aides ponctuelles sont parfois attribuées par les agences régionales de santé. Ces aides varient selon les régions et ne couvrent pas toujours l’ensemble des besoins.
Pour réduire ces risques, il est essentiel de renforcer les investissements en cybersécurité, d’améliorer la maintenance des équipements, de former le personnel hospitalier, et de poursuivre les efforts engagés dans le cadre des programmes nationaux de protection. La sécurité informatique des hôpitaux est un enjeu de santé publique qui nécessite une mobilisation collective et pérenne.
Une réponse tardive mais déterminée des pouvoirs publics
Renforcement de la gouvernance et des financements
En mai 2023, le ministère de la Santé a renforcé la gouvernance nationale du numérique en santé en confiant cette responsabilité à la Délégation au numérique en santé (DNS), élevée au rang de direction d’administration centrale. En réaction aux premières cyberattaques, un financement dédié à la sécurité informatique a été instauré, et la certification des hôpitaux par la Haute Autorité de santé (HAS) inclut désormais un volet sur la cybersécurité.
La DNS pilote la « feuille de route du numérique en santé 2023-2027 », dont le volet cybersécurité est géré par l’Agence du numérique en santé (ANS). Ce programme prévoit un financement sur cinq ans visant à combler le retard en matière d’investissements numériques dans les hôpitaux.
Le programme « Cyberaccélération et résilience des établissements » (CaRE) alloue 750 millions d’euros pour la sécurisation des systèmes d’information sur la période 2023-2027. Cependant, le financement n’est garanti que jusqu’à fin 2024. Il est crucial que cet engagement financier se poursuive jusqu’à la fin du programme et même au-delà, pour accompagner la montée en exigence des systèmes d’information hospitaliers.
Un cadre juridique européen renforcé
Sur le plan européen, la directive NIS 2 (Network and Information Security), adoptée en décembre 2022, établit un cadre juridique harmonisé pour renforcer la cybersécurité au sein de l’Union. Elle élargit la régulation à un plus grand nombre d’établissements et impose des normes de protection accrues. Bien que les États membres devaient transposer cette directive avant le 17 octobre 2024, la France n’avait pas encore finalisé cette étape à cette date.
Améliorations continues en cybersécurité
En 2024, la HAS a enrichi son référentiel de certification en introduisant des critères renforcés en cybersécurité. Elle a également recruté des experts numériques pour évaluer les établissements, soutenant ainsi les efforts de sécurisation. Les hôpitaux, encouragés par des financements ministériels, mènent des audits thématiques pour identifier leurs vulnérabilités. Une démarche nationale obligatoire et périodique d’audit pourrait garantir une sécurisation uniforme des systèmes d’information et renforcer la certification technique de la HAS.
Unification et modernisation des systèmes d’information
L’instauration des Groupements hospitaliers de territoire (GHT) en 2016 visait à renforcer la coopération entre établissements publics pour optimiser les soins et les ressources. Cependant, huit ans plus tard, la convergence des systèmes d’information entre les 136 GHT reste insuffisante en raison d’un manque d’impulsion locale et nationale.
Accélérer la mise en place d’un environnement numérique unifié et sécurisé, adapté à la coopération entre établissements, est indispensable. Doter les GHT de la personnalité morale pourrait jouer un rôle décisif pour améliorer la qualité des soins, optimiser les ressources et protéger les systèmes contre les cybermenaces.
Former les professionnels de santé au numérique et cybersécurité Hospitalière
La sensibilisation des professionnels de santé aux cyber-risques passe à la fois par la formation continue et par l’intégration du numérique dans les cursus initiaux. À partir de la rentrée 2024, sur l’initiative de la DNS et en collaboration avec le ministère de l’Enseignement supérieur, des modules obligatoires sur le numérique sont intégrés au premier cycle des formations médicales et paramédicales.
Un cap à maintenir pour une cybersécurité Hospitalière durable
Face à des menaces en constante évolution, il est impératif de maintenir et d’intensifier les efforts entrepris. La protection des systèmes d’information hospitaliers est essentielle pour garantir la continuité et la qualité des soins dans un contexte où le numérique joue un rôle croissant.
FAQs sur la Cybersécurité Hospitalière
Pourquoi les hôpitaux sont-ils particulièrement ciblés par les cyberattaques ?
Les hôpitaux gèrent de vastes quantités de données sensibles (médicales et personnelles) et utilisent des systèmes d’information complexes souvent interconnectés avec des réseaux externes. Leur sous-investissement chronique dans la cybersécurité les rend particulièrement vulnérables.
Quels sont les types d’attaques les plus fréquents contre les hôpitaux ?
Les principales menaces incluent :
Rançongiciels (ransomware) : logiciels malveillants qui verrouillent les systèmes jusqu’au paiement d’une rançon.
Phishing : emails frauduleux incitant à partager des informations confidentielles.
Violation de bases de données : accès non autorisé à des informations sensibles.
Attaques par déni de service (DDoS) : surcharge des serveurs pour perturber leur fonctionnement.
Quelles sont les conséquences d’une cyberattaque pour un hôpital ?
Interruption des services : paralysie des systèmes pouvant durer plusieurs mois.
Vol de données : exposition de données médicales et personnelles.
Coûts financiers : gestion de crise, remise en état des systèmes, perte de revenus.
Impact sur les soins : déprogrammation de traitements, retards, et transferts de patients.
Quels sont les investissements réalisés pour améliorer la cybersécurité hospitalière ?
Le programme CaRE (Cyberaccélération et Résilience des Établissements) prévoit un financement de 750 millions d’euros sur cinq ans (2023-2027) pour renforcer la sécurité des systèmes d’information des hôpitaux.
Que peut faire un hôpital pour se protéger des cyberattaques ?
Investir dans des systèmes informatiques modernes et maintenus à jour.
Former le personnel aux bonnes pratiques en cybersécurité.
Réaliser des audits réguliers des systèmes.
Mettre en place des protocoles de sauvegarde et de restauration des données.
Les patients doivent-ils s’inquiéter pour leurs données ?
Bien que les cyberattaques exposent les données des patients à des risques, les hôpitaux travaillent activement à renforcer leurs systèmes de protection et à répondre aux incidents de manière rapide et efficace.
