Les établissements de santé sont en première ligne des cyberattaques. Les chiffres sont éloquents en la matière : en 2023, 10% des victimes d'attaques par ransomwares étaient des hôpitaux publics ou privés, d'après l'Agence nationale de la sécurité des systèmes d'information (Anssi). Les exemples sont malheureusement nombreux : Dax, Rouen, Corbeil-Essonnes...
La compromission du système d'information
Pour faire face à cette menace, la Cour des comptes a publié un rapport, le 3 janvier 2025, dans lequel elle propose cinq recommandations. En préambule, la juridiction financière fait un point sur les particularités de la menace pesant sur les établissements de santé. Elle explique ainsi que "les menaces (...) prennent principalement la forme de 'compromissions' du système d'information, c'est-à-dire de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels".
Elle indique également que "la fragilité des systèmes d'information hospitaliers tient à leur complexité croissante, mesurée en nombre d'applications" ainsi qu'au "sous-investissement chronique dans le numérique (1,7% du budget d'exploitation en moyenne contre 9% dans la banque et 2% dans l'industrie des biens de consommation)".
20 millions d'euros pour la perte de recettes d'exploitation
Or, les cyberattaques dans le milieu hospitalier ont des conséquences particulièrement graves. Selon les estimations des établissements victimes, "le coût pour un hôpital peut atteindre 10 millions d'euros pour la gestion de la crise et 20 millions d'euros pour la perte de recettes d'exploitation". A noter que ces sommes ne prennent pas en compte "les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé".
De manière générale, la Cour des comptes dénonce "une réponse tardive" des pouvoirs publics. Elle préconise donc de continuer les actions mises en place jusqu'ici. Dans le détail, elle recommande la mise en place d'un groupe national d’expertise chargé, en cas de cyberattaques d’ampleur exceptionnelle, d’évaluer les pertes de recettes à compenser et, pour les établissements les plus gravement affectés, d’accorder une dispense de codification a posteriori de leur activité hospitalière. Cette recommandation s'adresse à la Caisse nationale de l'assurance maladie (Cnam) et à la Direction générale de l'offre de soins (DGOS).
Le financement de la DNS, un système inutilement complexe
Le rapport préconise également de mettre fin à l'utilisation d'un fonds de concours pour le financement de la Délégation au numérique en santé (DNS).Lors de la création du poste de délégué ministériel au numérique en santé, le ministère de la Santé a jugé qu'un financement par fonds de concours constituait "une solution pragmatique". Ce fonds est alimenté par un versement provenant de l'Agence du numérique en santé (ANS), "quand elle-même est financée par une dotation de l’assurance maladie" dans le cadre du "Ségur du numérique".
La Cour des comptes dénonce un fonctionnement "complexe" dont le financement n'est pas sécurisé puisqu’il émane du complément budgétaire issu du "Ségur du numérique" "dont les crédits s’éteindront à la fin de 2025". Elle recommande d'assurer ce financement par des "crédits budgétaires", "à l'instar de toutes les directions centrales de ce ministère".
La troisième mesure porte surle programme "CaRE". Doté d'un budget de 250 millions d'euros jusqu'en 2025, il vise à accélérer la mise à niveau des systèmes d'informations hospitaliers face à la menace de cyberattaques. La Cour des comptes souhaite que la DNS et l'ANS poursuivent les objectifs du programme "après son extinction en 2027". En effet, "la fin du programme CaRE ne marquera pas la fin des besoins de sécurisation des systèmes d’information des établissements hospitaliers". Ainsi, ajoutent les magistrats, "il est nécessaire de trouver un moyen pour pérenniser une part de dépenses hospitalières strictement affectées à cet objectif".
Mettre en place un audit global
Autre point : la nécessité de renforcer et d'harmoniser la stratégie d'audit et de certification des établissements de santé. La Cour note la multiplicité des audits thématiques qui appelle à "une réflexion sur la stratégie globale des audits numériques". Il conviendrait de les regrouper sous la forme d'un "audit technique plus global, périodique, réalisé par des auditeurs externes". Les résultats seraient confidentiels et communiqués à l’établissement, à l’ARS et à l’ANS, précise le rapport.
Est également proposé l'ajout "d’un indicateur portant sur la sécurité des systèmes d’information" dans le dispositif d’incitation financière à l’amélioration de la qualité et de la sécurité des soins des établissements de santé. Il pourrait aussi constituer "une incitation utile à l’amélioration de cette sécurité".
Faire converger les SI des établissements de santé
Par ailleurs, le rapport pointe du doigt la nécessité de doter les groupements hospitaliers de territoire (GHT) de la personnalité morale "pour rendre effective la convergence technique des systèmes d'information des établissements publics de santé". Comme il l'explique, initialement, le législateur n'a pas doté les GHT de la personnalité morale, ce qui les empêche de disposer d'un budget propre, de recruter et de gérer du personnel ainsi que d'acquérir et de gérer du patrimoine. De plus, "les obligations inhérentes aux GHT" sont assumées par "l’établissement support".
Or, rétorque la Cour des comptes, la réponse à long terme pour une fonction informatique prête à répondre efficacement à l’état de la menace se construit selon "le degré de maturité de la convergence", ce qui permet de rationaliser les moyens en les mutualisant. Il est aussi nécessaire de "définir des objectifs de mutualisation organisationnelle et technique en fonction des risques identifiés".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
