Audrey Vaugrente
ACTUALITÉ
CyberattaquesLes pistes de la Cour des comptes pour sécuriser les hôpitaux
Trop d’équipements obsolètes, un manque d’investissement et des mauvaises pratiques trop répandues : les hôpitaux sont trop exposés aux cyberattaques. Pour limiter le risque, la Cour des comptes préconise un budget dédié plus conséquent, mais aussi des audits réguliers.
30 hôpitaux ont été la cible d’attaques par rançongiciel en 2022 et 2023. Ces virus, qui bloquent le système informatique d’un établissement entier et exigent une rançon pour le libérer, sont la partie la plus médiatique des cyberattaques touchant ces établissements. Mais leurs vulnérabilités sont nombreuses et aggravées par un « sous-investissement chronique », que pointe la Cour des comptes dans un rapport. En effet, les 2 400 hôpitaux publics et privés qui parsèment le territoire sont en première ligne face au risque de cyberattaques. Ils représentent 71 % des incidents relevant du secteur de la santé.
La « complexité croissante » des systèmes informatiques hospitaliers explique en partie cette grande vulnérabilité. La Cour souligne que les plus gros CHU doivent gérer jusqu’à 1 000 applications différentes, parfois en lien avec des partenaires extérieurs. Face à ces enjeux, les investissements sont insuffisants : les établissements consacrent moins de 2 % de leur budget au numérique – à l’exception notable des Centres de lutte contre le cancer. Plus inquiétant encore, 1/5 des équipements sont en situation d’obsolescence, ce qui facilite le travail des cybercriminels. Ainsi, 20 % des postes de travail ont plus de 7 ans ou sont pourvus d’un système d’exploitation dont la maintenance n’est plus assurée. 23 % des équipements de réseaux, quant à eux, ne peuvent plus être mis à jour ou réparés en cas de panne.
Care
Le gouvernement a mis en place un programme, baptisé Care (Cybersécurité accélération et résilience des établissements), prévoyant 750 millions d’euros d’investissements jusqu’à 2027. Mais ces financements ne sont pas garantis à partir de 2025. La Cour estime donc impératif de garantir la pérennité de ce programme jusqu’à son terme, et de maintenir ses objectifs au-delà de 2027. Des audits périodiques et obligatoires devraient aussi être mis en place dans tous les établissements. Care pourrait être intégré au processus de certification mené par la Haute Autorité de santé.
