Publicité en cours de chargement...
Menaces cyber dans la santé : de quelle poche vont sortir les budgets ?
Dans Fight Club, le personnage principal joué par Edward Norton exerce un métier particulièrement cynique : il intervient pour le compte de constructeurs automobiles qui ont détecté un défaut de série dans une gamme de véhicules et souhaitent savoir s’il faut ou non procéder à leur rappel. E. Norton est chargé de calculer deux chiffres :
– A : le coût total du rappel des véhicules de la gamme (bien entendu à la charge du constructeur) ;
– B : le coût des dommages et intérêts qui devront être versés aux veuves et veufs de ceux qui auront succombé sur la route à cause dudit défaut.
Si A est supérieur à B, on ne rappelle pas, si B est supérieur à A, on rappelle.
Si le raisonnement peut vous paraître cynique, c’est pourtant ce que nous faisons tous à notre échelle : frauder le fisc, inviter un match Tinder au restaurant, dépenser des sous pour l’anniversaire de Mamie, etc. : combien ça va coûter, combien ou qu’est-ce que ça peut rapporter ?
Prenons quelques chiffres simples (et le lecteur curieux ou critique pourra toujours faire varier les hypothèses de départ) :
– Un établissement de santé attaqué toutes les semaines, soit 52 par an ;
– Avec environ 5 000 structures de soins privées ou publiques sur le territoire (et encore sans compter les Ehpad, sinon le nombre dépasse les 20 000), la probabilité P de se faire attaquer est donc approximativement de 1/100.
Il nous manque l’impact : nous allons évacuer l’impact d’image, l’impact juridique et l’impact d’activité pour nous concentrer sur l’impact financier (I). Existe-t-il seulement ? Oui, bien sûr : perte d’activité, etc., mais chacun sait que la structure des sources de financement des établissements publics (Cnam et budgets fixés par l’ARS) est telle qu’en cas d’arrêt total l’État ferait un gros chèque, parce qu’il faudrait de toute manière payer les agents (entre 50 % et 60 % des budgets tout de même). Mais imaginons qu’après un mois d’arrêt total l’établissement hospitalier ait perdu, disons, I = 1/12 de ses recettes annuelles (chiffre surestimé car malgré un ransomware très méchant certaines activités, sources de financement, ne seraient pas stoppées, telles celles des Ehpad, des SSR, etc.). Le risque est donc A = P x I = 1/100 x 1/12 de son budget annuel.
Pour recruter ne serait-ce qu’un ingénieur dédié à la SSI (et à condition d’en trouver un vu la tension sur le marché de l’emploi dans ce secteur – à titre informatif le coût annuel du poste (B) est de l’ordre de 75 000 euros), il faut que A > B : un petit calcul montre qu’il faut recruter un ingénieur par tranche de 90 millions d’euros de budget (un établissement hospitalier avec 180 millions d’euros de budget serait donc candidat à recruter deux ingénieurs). On en déduit qu’un CHU de 600 millions d’euros de budget est donc candidat à six ou sept recrutements, et basta.
Sauf que non.
Parce que A est très largement surestimé : aucun GHT ne perdrait un mois de recettes puisque la fraction du financement à l’activité n’est jamais de 100 % et que, même si l’on arrêtait totalement l’activité, l’État accourait ventre à terre pour renflouer les caisses.
Parce que B est très largement sous-estimé : dans le cas des défauts de série sur les voitures, le rappel corrige 100 % des défauts. Mais recruter un ingénieur ne réduit pas le risque à zéro – personne n’est seulement capable de calculer la diminution du risque.
Si on divise A par deux et que l’on multiple B par deux (et encore c’est très gentil), on quadruple le résultat final : un recrutement d’ingénieur par tranche de 360 millions d’euros de budget. Bon, pour faire court : l’intérêt économique est nul, et si vous pensez que ce calcul est biaisé et sortez les poncifs du genre « La santé n’a pas de prix », sachez qu’elle a tout de même un coût pour celui qui tient le stylo au-dessus du chèque, et que lui va faire ces calculs, et avec des hypothèses nettement moins optimistes. Une estimation à la louche démontre qu’il faudrait recruter plus de 1 000 ingénieurs pour les 135 GHT, sans même parler de leur disponibilité, et il est peu probable qu’au final on en engage seulement le quart.
En fait, la conclusion inévitable à laquelle aboutit ce raisonnement, c’est que la cyber relève des communs, concept hérité des travaux des économistes britanniques du xviiie siècle qui ont compris que certains biens (les routes, les ponts) n’appartenaient à personne mais que les laisser à l’abandon pénaliserait tout un chacun et qu’à ce titre leur gestion relève des missions de l’État. Un hôpital ne se préoccupe pas des routes bitumées pour que les véhicules puissent parvenir jusqu’à lui. Dans quelle mesure la sécurité d’un réseau (Internet) qu’il n’a pas mis en place et qu’il ne maintient pas relèverait de ses propres budgets ? Dans quelle mesure les travaux ne relèveraient-ils pas des opérateurs réseaux, d’une restructuration de l’Internet français et de sa maîtrise des points de passage ? De dispositifs de filtrage par niveau de confiance ? De création de sous-réseaux nationaux (il en existe déjà) par typologie d’activité avec des interfaces maîtrisées et sous surveillance ?
Peu de réponses, et beaucoup de questions dont le traitement est structurant pour les 15 années à venir.
T.D
Avez-vous apprécié ce contenu ?
A lire également.

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Health Data Hub dévoile les 17 lauréats de son premier appel à manifestation d’intérêt portant sur le Catalogue du SNDS
07 juil. 2025 - 23:50,
Communiqué
- Health Data HubLe Catalogue du Système national des données de santé (SNDS) fait référence à l’ensemble des bases de données de partenaires qui sont copiées dans l’environnement technique du Health Data Hub dans l’optique de mutualiser les efforts de croisement avec les données de la base principale de l’Assurance...

La Délégation au numérique en santé (DNS) et UniHA concluent un partenariat
07 juil. 2025 - 23:28,
Tribune
- UNIHALe jeudi 3 juillet 2025, Hela Ghariani, co-responsable du numérique en santé à la Délégation au numérique en santé (DNS) du ministère de la Santé, et Pascale Mocaër, Présidente d’UniHA, ont signé un partenariat pour favoriser le passage à l’échelle des solutions innovantes testées dans les tiers-lie...