Recommandations de la Cour des comptes sur la sécurité informatique des établissements

Selon la Cour, les établissements de santé représentaient en 2023 10 % des victimes de cyberattaques en France, avec neuf attaques majeures subies. Elle souligne la vulnérabilité des interconnexions accrues de leurs systèmes d’information avec l’extérieur et le sous-investissement chronique dans le numérique. Est également mis en avant le retard de la réaction des autorités publiques en finançant sur cinq ans un programme de prévention et de protection.

Des hôpitaux très exposés
Selon le panorama dressé en 2023 par l’Agence nationale de la sécurité des systèmes d’information (Anssi), les hôpitaux sont principalement menacés par des « compromissions » du système d’information, c’est-à-dire des violations de bases de données et de codes confidentiels, des messages électroniques malveillants et des rançongiciels. Il s’agit du troisième secteur le plus touché après les collectivités territoriales et les entreprises.

Cette fragilité est due à la complexité croissante de leurs SI, avec notamment un nombre d’applications supérieur à celui d’autres secteurs d’activité – jusqu’à 1 000 applications pour les CHU les plus importants – et à un investissement insuffisant dans le numérique, limité à 1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation. À cela s’ajoutent l’obsolescence de plus de 20 % des équipements et la trop faible prise en compte des enjeux de cybersécurité par le personnel hospitalier.

Les conséquences peuvent être considérables, du point de vue économique en particulier. La Cour table sur un coût qui, pour un hôpital, peut atteindre 10 millions d’euros pour la gestion de la crise et la remédiation, 20 millions d’euros en termes de perte de recettes d’exploitation, sans compter les potentielles répercussions financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé, ni celles de l’arrêt du fonctionnement de services.

Un financement sur cinq ans
Le rapport souligne la réponse tardive, mais effective des autorités. En mai 2023, la Délégation au numérique en santé (DNS) a été érigée au rang de direction d’administration centrale afin de clarifier la gouvernance nationale du numérique en santé. Puis un financement a été dédié. De même, la certification intègre désormais un volet relatif à la sécurité informatique. Doté par la DNS d’une enveloppe de 750 millions d’euros de financement sur cinq ans, le programme Cyberaccélération et résilience des établissements (CaRE) vise à rattraper le sous-investissement numérique des hôpitaux.

La Cour des comptes constate que cet engagement financier n’était assuré que jusqu’à la fin de l’année 2024 et insiste sur sa nécessaire poursuite, même au-delà des cinq ans initialement prévus.

Un cadre juridique européen
De même, elle souligne le nouveau cadre juridique européen consacré par la directive NIS 2 (Network and Information Security) adoptée en décembre 2022, qui élargit le champ des établissements soumis à régulation et relève le niveau d’exigence de leur protection. Mais elle insiste aussi sur le fait que cette directive n’était pas encore transposée en droit français à l’échéance du délai imparti en octobre dernier.

En termes réglementaires, les critères de cybersécurité ont été renforcés dans le cadre du référentiel de certification, et des experts visiteurs numériques ont été recrutés à partir de 2024. La Cour souligne l’apport des audits thématiques encouragés par les programmes de financement ministériels. Elle préconise leur unification à l’échelle nationale pour leur donner un caractère obligatoire et périodique.

Mieux préparer les hôpitaux
Afin de mieux préparer les hôpitaux, la Cour met l’accent sur la nécessité de renforcer la convergence des groupements hospitaliers de territoire (GHT), encore trop inégale par manque d’impulsion locale et/ou nationale. Elle propose ainsi de doter les GHT de la personnalité morale pour faciliter la construction d’un environnement numérique unifié et sécurisé, favorable à la coopération entre établissements publics, à l’amélioration de la qualité des soins et à l’optimisation des ressources financières et humaines.

Coup d’œil sur les cinq recommandations

• Mettre en place un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser et, pour les établissements les plus gravement affectés, de proposer une dispense de codification a posteriori de leur activité hospitalière ;
• Mettre fin à l’utilisation d’un fonds de concours pour le financement de la Délégation au numérique en santé ;
• Conduire à son terme le programme CaRE ;
• Mettre en place un audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le dispositif d’incitation à la qualité et dans la certification par la HAS ;
• Doter les groupements hospitaliers de territoire de la personnalité morale.