AccueilActualitésCybersécurité : la Cour des Comptes tire la sonnette d’alarme pour les hôpitaux
Actualités

Cybersécurité : la Cour des Comptes tire la sonnette d’alarme pour les hôpitaux

Par Francois , le 8 janvier 2025 — alarme, cour des comptes, cybersécurité, hôpitaux, sécurité numérique - 8 minutes de lecture
Partager cet article :

Dans un contexte où les hôpitaux français se retrouvent en première ligne des cybermenaces, la Cour des Comptes sonne l’alerte. En dégradant non seulement la sécurité des patients mais aussi l’efficacité des soins, ces attaques informatiques soulignent de manière alarmante les vulnérabilités des systèmes hospitaliers. Alors que 10 % des cyberattaques en France visent le secteur de la santé, l’importance de sécuriser ces infrastructures devient une priorité nationale, afin d’éviter des perturbations qui pourraient compromettre la continuité des soins et mettre en péril les ressources essentielles des établissements de santé.

En 2023, les établissements de santé en France faisaient face à une situation préoccupante : 10 % des cyberattaques les visaient. Les principaux risques évoqués incluent des compromissions des systèmes d’information, entrainant des violations de bases de données, des codes confidentiels et la diffusion de messages électroniques malveillants. Les rançongiciels, particulièrement destructeurs, représentent une importante menaces pour ces installations vitales.

En novembre 2024, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) soulignait la disparité des défenses entre les établissements, bien que le danger pour la sécurité des patients soit évident. L’exemple du centre hospitalier André Mignot de Versailles, ayant mis 18 mois à remettre son système sur pied après une cyberattaque, illustre les lourdes répercussions de telles menaces. En particulier, une attaque peut provoquer une chute significative de l’activité hospitalière.

La Cour des Comptes, dans un rapport publié en janvier 2025, souligne l’importance de poursuivre le financement pour la prévention et la protection numérique. Elle préconise la création d’un groupe national d’expertise chargé d’évaluer les pertes lors d’attaques significatives et d’imposer un audit périodique obligatoire pour les établissements de santé.

Third secteur le plus à risque

Les hôpitaux se situent au troisième rang parmi les secteurs les plus vulnérables aux cyberattaques, après les collectivités territoriales et les entreprises privées. La complexité croissante des systèmes d’information hospitaliers, avec jusqu’à 1 000 applications pour les établissements les plus importants, nécessite un investissement accru dans le numérique et la cybersécurité.

En moyenne, seulement 1,7 % du budget hospitalier est dédié au numérique contre 9 % dans le secteur bancaire. Plus de 20 % des équipements sont obsolètes, aggravant les risques de sécurité.

Lire aussi :  Microsoft lie-t-il la cybersécurité à la rémunération des dirigeants après plusieurs violations de sécurité ?

Conséquences des cyberattaques

Les cyberattaques peuvent entraîner des interruptions de services affectant à la fois la gestion administrative et la prise en charge médicale. La Cour des Comptes évalue le coût potentiel d’une cyberattaque à plus de 10 millions d’euros pour la remédiation et la gestion de crise, sans compter les pertes de données et d’exploitation.

Enfin, la Cour des Comptes insiste sur la nécessité de renforcer la coopération entre les groupements hospitaliers ainsi qu’à intégrer des éléments de sécurité numérique dans la formation des professionnels de santé. Avec l’entrée en vigueur de la directive européenne NIS 2, plus de 750 établissements seront concernés par de nouvelles obligations de cybersécurité.

la cour des comptes met en lumière les vulnérabilités des systèmes informatiques des hôpitaux, soulignant l'urgence de renforcer la cybersécurité afin de protéger les données sensibles des patients et garantir la continuité des soins face à la montée des cybermenaces.

Exemples récents d’attaques

En 2023, quatre ans après l’attaque d’envergure contre le CHU de Rouen et un an avant celle qui a affaibli l’hôpital de Cannes, 10 % des victimes de cyberattaques en France étaient des établissements de santé. Ces attaques visaient principalement les compromissions du système d’information, incluant des violations de bases de données, des vols de codes confidentiels et des messages électroniques malveillants. Les rançongiciels étaient jugés comme les menaces les plus destructrices par la Cour des Comptes.

Impacts des cyberattaques

Un exemple marquant concerne un centre hospitalier de 800 lits, accueillant 35 500 séjours en hospitalisation complète. Cet établissement a mis 18 mois pour remettre son système d’information en place après une attaque en décembre 2022. Son activité a chuté de 20 % sans retrouver son niveau initial à la fin de février 2024. Cette interruption a entraîné une perte de recettes d’exploitation pouvant atteindre 20 M€. Les interruptions de services et les vols de données ont eu des répercussions concrètes sur la gestion administrative et la prise en charge des patients.

Leçons à tirer pour renforcer la sécurité

Face à ces conséquences lourdes, plusieurs mesures sont suggérées pour renforcer la sécurité des systèmes hospitaliers. Premièrement, la création d’un groupe national d’expertise pour évaluer les pertes financières lors de cyberattaques d’ampleur exceptionnelle est recommandée. Deuxièmement, un audit périodique obligatoire pour tous les établissements de santé devrait être instauré afin d’améliorer la qualité et la sécurité informatique.

La Cour des Comptes pointe également la nécessité d’accroître les investissements dans le numérique, actuellement limités à 1,7 % du budget d’exploitation, bien loin des 9 % alloués dans le secteur bancaire. Avec seulement 750 millions d’euros prévus sur cinq ans dans le programme «Cyberaccélération et résilience des établissements» (CaRE), il est crucial de prolonger cet engagement au-delà de 2027 pour la sécurité informatique des infrastructures de santé.

Lire aussi :  Dimood et Sekost unissent leurs forces pour optimiser la cybersécurité des petites et moyennes entreprises

Importance de la cybersécurité

La complexité croissante des systèmes d’information des hôpitaux, parfois composés de jusqu’à 1 000 applications, rend leur sécurisation indispensable. De plus, la vulnérabilité des systèmes interconnectés avec des systèmes extérieurs place le secteur de la santé au troisième rang des domaines les plus touchés par les attaques numériques, derrière les collectivités territoriales et les entreprises.

La Cour des Comptes met en avant plusieurs mesures clés destinées à améliorer la cybersécurité des hôpitaux, face aux attaques croissantes qui les visent :

  • Financement continu de la prévention et de la protection numérique : Poursuivre les efforts financiers pour renforcer les systèmes de sécurité dans les établissements de santé. Le programme « Cyberaccélération et résilience des établissements » (CaRE) a été lancé pour accompagner ces efforts.
  • Création d’un groupe national d’expertise : Ce groupe devra évaluer les pertes de recettes dues aux cyberattaques d’ampleur exceptionnelle pour assurer une compensation adéquate.
  • Audit périodique obligatoire : Introduction d’audits réguliers pour tous les établissements de santé, intégrés dans les dispositifs de certification de la qualité.
  • Coordination des démarches d’audit : Harmoniser les démarches existantes pour assurer une protection uniforme dans tous les établissements.
  • Renforcement des compétences : Intégration de formations en cybersécurité dans la formation initiale des professionnels de santé pour pallier le manque de compétences.

Meilleures Pratiques en Matière de Cybersécurité

Adopter une culture de la cybersécurité robuste est crucial pour prévenir les attaques et renforcer les infrastructures existantes. Voici quelques-unes des meilleures pratiques :

  • Mise à jour régulière des systèmes : S’assurer que les systèmes d’exploitation et les logiciels sont à jour et protégés contre les vulnérabilités.
  • Formation du personnel : Sensibiliser régulièrement les employés aux risques cybernétiques et aux pratiques telles que l’identification des emails frauduleux.
  • Utilisation de solutions de sécurité avancées : Mettre en place des pare-feux, des antivirus et des technologies de détection d’intrusion pour protéger les réseaux.
  • Sauvegarde des données : Implémenter une stratégie de sauvegarde régulière pour assurer la récupération des données en cas d’attaque.
  • Plan de réponse aux incidents : Élaborer et tester régulièrement un plan de réponse aux incidents pour minimiser l’impact d’une cyberattaque.
Lire aussi :  Toulouse : le Cnes renforce la cybersécurité des enjeux spatiaux

Stratégies de Prévention

La prévention joue un rôle fondamental dans la protection des données et des systèmes d’information :

  • Évalutions de vulnérabilité : Réaliser des tests d’intrusion pour identifier et corriger des failles de sécurité potentielles.
  • Interconnexion contrôlée : Limiter l’interconnexion des systèmes pour réduire les points d’entrée possibles pour les attaquants.
  • Chiffrement des données : Utiliser des technologies de chiffrement pour protéger à la fois les données en transit et au repos.
  • Surveillance continue : Mettre en place des solutions de surveillance en temps réel des menaces potentielles.

L’application de ces mesures et pratiques est essentielle pour renforcer la résilience des systèmes hospitaliers face aux cybermenaces croissantes.

La cybersécurité dans le secteur de la santé en France revêt une importance croissante à mesure que les cyberattaques se multiplient. En 2023, *10 % des victimes de ces attaques* étaient des établissements de santé, mettant en lumière la vulnérabilité de leurs systèmes d’information. Les incidents diagnostiqués englobent des *compromissions informatiques*, tels que des *violations de bases de données* et l’usage de *rançongiciels*. Face à cet enjeu majeur, la *Cour des Comptes* appelle à un renforcement des mesures de sécurité, insistant sur l’importance de la *prévention* et du *financement adéquat*. L’initiative *CaRE* du ministère de la Santé vise à combler ces lacunes par le biais de financements substantiels. Toutefois, il est crucial de maintenir cet engagement au-delà de 2027 et de veiller à l’intégration de la cybersécurité dans la formation des professionnels. Avec la récente directive européenne *NIS 2*, un nombre accru d’établissements sera soumis à des obligations de sécurité renforcées, marquant une étape importante vers la protection des infrastructures de santé.

  • Comité d'histoire de la Cour des Comptes Philippe Seguin À La Cour Des Comptes: Comite D'Histoire De La Cour Des Comptes (Sans Coll - Cour Des Comptes)
    Brand : DOC FRANCAISE, Binding : Taschenbuch, Label : La Documentation Française, Publisher : La Documentation Française, medium : Taschenbuch, numberOfPages : 328, publicationDate : 2012-04-26, authors : Comité d'histoire de la Cour des Comptes, ISBN : 2110089547
    2,45 €
  • Comite d'histoire de l'ENA La Cour Des Comptes Et L'Affaire Du Carrefour Du Développement
    Binding : Taschenbuch, Label : DOCUMENTATION FRANCAISE, Publisher : DOCUMENTATION FRANCAISE, medium : Taschenbuch, numberOfPages : 136, publicationDate : 2014-01-08, authors : Comite d'histoire de l'ENA, Jean-Benoît Frèches, Bruno Ory-Lavollée, Hubert Poyet, Alain Chabrol, ISBN : 211009592X
    1,96 €
  • Cour des comptes Le Rapport Public 2001 : Rapport D'Activité Et Observations Des Juridictions Financières
    Binding : Taschenbuch, Label : Journal Officiel, Publisher : Journal Officiel, PackageQuantity : 1, medium : Taschenbuch, publicationDate : 2002-02-06, authors : Cour des comptes, ISBN : 2110752807
    2,71 €
Avatar photo

Francois

Bonjour, je m'appelle François et j'ai 29 ans. Je suis passionné par le scripting, le bash, le Powershell et les infrastructures Windows et Linux. Bienvenue sur mon site web.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.