Dans un rapport publié le 3 janvier 2025, la Cour des comptes dresse un état des lieux préoccupant de la sécurité informatique des établissements de santé en France. Face à la multiplication des cyberattaques, les hôpitaux se révèlent particulièrement vulnérables, avec des conséquences potentiellement graves pour leur fonctionnement et la qualité des soins.
Les cyberattaques contre les hôpitaux ont connu une intensification préoccupante ces dernières années.
En 2023, 10% des victimes d’attaques par rançongiciels en France étaient des établissements de santé. Ces attaques peuvent avoir des répercussions considérables. Tout d’abord, des impacts financiers. Le coût d’une cyberattaque pour un hôpital impliquent notamment les dépenses liées à la gestion de la crise et la remédiation et des pertes d’exploitations.
Par ailleurs, une cyberattaque peut engendrer des impacts sur l’activité. Les attaques peuvent entraîner des interruptions de service durant plusieurs mois, des déprogrammations de soins, voire des transferts de patients vers d’autres établissements. A titre illustratif, le rapport fait état d’un centre hospitalier ayant mis 18 mois pour reconstruire son système d’information, avec une chute d’activité de plus de 20% qui n’était toujours pas revenue à la normale plus d’un an après l’attaque.
Au surplus, les cyberattaques représentent des risques d’atteinte à l’image pour l’établissement et l’expose ainsi à des sanctions financières et/ou des actions en responsabilité de la part des personnes concernées.
Rappelons que les établissements de santé sont soumis à diverses obligations, notamment déclaratives s’agissant des incidents informatiques dont ils peuvent être victimes tant auprès des Agences Régionales de Santé[1] que la Commission Nationale de l’Informatique et des Libertés (CNIL)[2].
Par ailleurs, la nouvelle directive NIS 2, adoptée en décembre 2022, vise à renforcer la cybersécurité dans l’Union européenne, et prévoit également des obligations de notification de tout incident ayant un impact sur la fourniture des services par l’organisme avec une première alerte précoce qui doit intervenir dans les 24 heures après avoir eu connaissance de l’incident[3]. La directive élargit le champ des établissements soumis à régulation et augmente le niveau d’exigence en matière de protection. À la date butoir du 17 octobre 2024, fixée comme délai pour les États membres, la transposition de la directive en droit français n’avait toujours pas été effectuée.
Le rapport souligne par ailleurs que la sensibilisation et la formation du personnel hospitalier sont des outils clés pour améliorer la cybersécurité. Actuellement, la prise en compte des enjeux de cybersécurité par le personnel est jugée insuffisante. Il est donc crucial de renforcer la formation continue sur les risques cyber pour tous les professionnels de santé et d’intégrer le numérique et la cybersécurité dans la formation initiale des professionnels de santé.
La sécurité informatique des établissements de santé est un enjeu majeur qui nécessite une action concertée à tous les niveaux.
Le rapport de la Cour des comptes est librement accessible : https://www.ccomptes.fr/fr/publications/la-securite-informatique-des-etablissements-de-sante
Le cabinet se tient à disposition des établissements de santé ainsi que les professionnels de santé afin de les conseiller et de les accompagner quant à leurs obligations légales et les meilleures pratiques en matière de cybersécurité.
[1] Article L1111-8-2 du Code de la santé publique pour les incidents significatifs ou graves de sécurité du système d’information.
[2] Article 33 du Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et la libre circulation de ces données (RGPD).
[3] Article 23 de la Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite « Directive NIS 2 »)