Handle with CaRE
Après enquête, la Cour des Comptes souligne le net retard des établissements hospitaliers en matière de cybersécurité, troisième secteur le plus visé par des cyberattaques en France.
En 2023, soit quatre ans après l’attaque d’envergure qui avait visé le CHU de Rouen et un an avant celle qui vient d’affaiblir l’hôpital de Cannes, 10 % des victimes de cyberattaques en France étaient des établissements de santé.
Principales menaces : des « « compromissions » du système d’information », selon les travaux que la Cour des Comptes publie en cette rentrée 2025 sur la sécurité informatique des établissements de santé. Autrement dit : des « violations de bases de données et de codes confidentiels, de messages électroniques malveillants », et des « rançongiciels, ces derniers étant les plus destructeurs ».
En novembre 2024, l’ANSSI constatait que les défenses des établissements de santé restaient très disparates, alors que les risques pour les patients sont très réels. À titre d’exemple, la Cour des Comptes cite de son côté le cas d’un centre hospitalier de « 800 lits et places, et accueillant 35 500 séjours en hospitalisation complète dans le champ « médecine, chirurgie et obstétrique » (MCO) ».
Ce dernier a mis 18 mois pour remettre son système d’information sur pieds, et alors que son activité avait chuté de 20 % après l’attaque, il n’avait « pas encore retrouvé son niveau de novembre 2022 à la fin du mois de février 2024 » (l’hôpital André Mignot de Versailles, qui correspond à cette description, a été attaqué le 4 décembre 2022).
Regrettant le « retard » de la réaction des autorités publiques, la Cour des Comptes insiste pour que la dynamique de financement de la prévention et de la protection contre les risques numériques soit poursuivie.
Elle recommande par ailleurs la mise en place d’un « groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser » et la création d’un « audit périodique obligatoire pour tous les établissements de santé, qui pourrait être pris en compte dans le dispositif d’incitation à la qualité et dans la certification par la HAS ».
Troisième secteur le plus à risque
Dans le paysage français, la Cour des Comptes constate que la « vulnérabilité des systèmes d’information des hôpitaux et leur interconnexion accrue avec des systèmes (…) extérieurs » place ce type d’entités au troisième rangs des domaines les plus touchés par des attaques numériques.
Juste devant : les collectivités territoriales. Les entreprises, des plus petites à celles de taille intermédiaire, sont quant à elles en tête des acteurs les plus à risque.
En termes d’interconnexions, la Cour des Comptes relève que la complexité des systèmes d’information hospitaliers, « sans équivalent », va croissant – « jusqu’à 1 000 applications pour les CHU les plus importants » – alors que le numérique reste un poste de dépense très limité. En moyenne, seulement 1,7 % du budget d’exploitation lui est ainsi alloué, contre 9 % dans le domaine bancaire.
Résultat : plus de 20 % des postes de travail et des serveurs ont « plus de sept ans ou un système d’exploitation hors de maintenance ou obsolète » et 23 % des équipements réseaux et 22 % des applicatifs métiers ne peuvent plus être mis à jour.
La cybersécurité, parent pauvre du (parent pauvre qu’est le) numérique hospitalier
Dans le domaine numérique hospitalier lui-même, les enjeux de cybersécurité sont par ailleurs mal pris en compte. Les conséquences sont pourtant concrètes : les cyberattaques peuvent créer des interruptions de services, que ce soit du côté administratif (gestion des malades, gestion économique et financière) ou de la prise en charge des patients (le plus souvent aux urgences), et les vols de données peuvent avoir des effets sur le temps long.
En moyenne, « le coût pour un hôpital peut atteindre 10 M€ pour la gestion de la crise et la remédiation et 20 M€ pour la perte de recettes d’exploitation », chiffre la Cour des comptes, et ce, sans compter les conséquences financières potentielles des vols et publication de données médicales et non médicales des patients et des professionnels.
Le rapport souligne par ailleurs des répercussions en cascade, lors de l’arrêt forcé du fonctionnement normal d’un établissement hospitalier. Les déprogrammations de prises en charges peuvent se traduire par des transferts de patients vers d’autres hôpitaux. Elles créent aussi « des risques à court et à moyen terme sur la continuité et sur la qualité des soins (séquelle, perte de chances…) ».
Pour autant, « malgré l’obligation à laquelle sont astreints les établissements de santé en la matière, les incidents de cybersécurité qui les affectent ne sont pas tous déclarés, regrette la Cour des Comptes, faute de compétence interne suffisante en matière de cybersécurité, mais aussi sans doute, par crainte de retombées médiatiques et réputationnelles. »
La délégation au numérique en santé pilote le CaRE
Pour faire face, le ministère de la Santé a chargé la délégation du numérique en santé (DNS) de la gouvernance du numérique en santé à l’échelle nationale. Le volet cybersécurité de sa feuille de route 2023 – 2027 comprend un volet de financement sur cinq ans pour rattraper le retard, le programme « Cyberaccélération et résilience des établissements » (CaRE).
Mis en œuvre par l’Agence du numérique en santé (ANS), au sein de laquelle est hébergé le Cert Santé, ce « programme de rattrapage » vise à verser 750 millions d’euros sur cinq ans pour favoriser la sécurité des systèmes d’information des établissements de santé – qui subissaient jusqu’ici seuls les pertes d’exploitation et les coûts de remise en état des systèmes, à l’exception d’aides financières attribuées de manière non uniforme par les agences régionales de santé.
Si la Cour des Comptes salue l’effort, elle souligne que l’engagement financier n’était assuré que jusqu’à la fin 2024 et déclare « indispensable » sa poursuite. Elle prévient aussi de la nécessité de perpétuer le financement de la cyberprotection après 2027 et enjoint à coordonner les différentes démarches d’audit (de l’ANS, via l’Anse) existantes.
Dans son rapport, la Cour des Comptes relève divers autres retards qui participent à la situation actuelle, parmi lesquels le manque de coopération effective entre les 136 groupements hospitaliers de territoire (GHT) créés en 2016, ou l’absence complète d’éléments relatifs au numérique et à la cybersécurité dans la formation initiale des professionnels de santé.
L’institution souligne par ailleurs que les effets de la deuxième directive européenne sur la cybersécurité (NIS 2), entrée en vigueur le 17 octobre 2024, mais en cours de transposition tardive dans le droit français, n’ont pas du tout été anticipés. Le texte européen élargit pourtant clairement le périmètre des établissements concernés par les obligations de cybersécurité, pour y inclure toutes les « entités essentielles » (de plus de 250 employés et 50 millions d’euros de chiffre d’affaires) et « importantes » (de plus de 50 salariés et 10 millions d’euros de chiffre d’affaires).
La Cour des Comptes estime qu’entre 750 et 800 établissements de santé seront soumis aux obligations relatives aux entités essentielles, et près de 1 300 à celles relatives aux entités importantes.