La sécurité informatique des établissements de santé

Cour des comptes

Ce document, publié par la Cour des comptes en octobre 2024, porte sur la sécurité informatique des établissements de santé en France. Il met en lumière la vulnérabilité croissante des hôpitaux face aux cyberattaques, en particulier les rançongiciels, qui représentent 10 % des attaques en France. Les conséquences de ces attaques sont lourdes : coûts de gestion de crise pouvant atteindre 10 M€, pertes de recettes estimées à 20 M€, et impacts majeurs sur la continuité des soins et la qualité de la prise en charge des patients.

Le rapport souligne le sous-investissement chronique dans le numérique, avec seulement 1,7 % du budget d’exploitation des hôpitaux consacré à ce domaine, contre 9 % dans la banque. Il mentionne également l’obsolescence des équipements, avec plus de 20 % des postes de travail et serveurs ne bénéficiant plus de maintenance.

Parmi les solutions proposées, le programme CaRE (Cyberaccélération et Résilience des Établissements), doté de 750 M€ sur cinq ans, vise à renforcer la sécurité des systèmes d’information hospitaliers. Par ailleurs, la directive européenne NIS 2, adoptée en décembre 2022 mais encore en cours de transposition en droit français, impose de nouvelles obligations de cybersécurité pour les établissements de santé, avec un élargissement du périmètre des entités concernées et un renforcement des exigences.

Enfin, le document insiste sur la nécessité de mutualiser les ressources, de former les professionnels et de mettre en place des audits périodiques pour améliorer la résilience des établissements face aux cybermenaces.

Éléments clés à retenir :

  • 10 % des victimes de rançongiciels en France sont des hôpitaux.

  • Coût d’une cyberattaque : jusqu’à 10 M€ pour la gestion de crise et 20 M€ pour les pertes de recettes.

  • Seulement 1,7 % du budget d’exploitation des hôpitaux est consacré au numérique.

  • Programme CaRE : 750 M€ sur cinq ans pour la cybersécurité.

  • Directive NIS 2 : en cours de transposition en France, avec des exigences renforcées


CdC-La-securite-informatique-des-etablissements-de-sante-2024.pdf

Autres ressources en lien ...

  • Etat de la menace Secteur de la santé 2024

    Document rédigé par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) qui présente un état des lieux complet des menaces informatiques pesant sur le secteur de la santé en…