Une attaque informatique est une catastrophe pour les hôpitaux dont 10 % ont été encore victimes en 2023. Parmi l’ensemble des attaques signalées dans le secteur de la santé en France, la grande majorité des incidents de sécurité est déclarée par les établissements hospitaliers (71 %) d’après le dernier rapport de la Cour des comptes sur la sécurité informatique des établissements de santé publié en janvier 2025. À l’exemple de ce centre hospitalier qui a mis 18 mois pour rétablir son système d’information (SI), comme le mentionne la Cour des comptes. Ayant subi une attaque en novembre 2022, cet établissement qui dispose de 800 lits et places et accueillant 35 500 séjours en hospitalisation complète dans le champ médecine, chirurgie et obstétrique (MCO) en a subi les conséquences pendant de nombreux mois. Pire, son activité d’hospitalisation MCO qui a chuté de plus de 20 % après l’attaque, n’avait pas encore retrouvé son niveau de novembre 2022 à la fin du mois de février 2024. L’hôpital a dû supporter les pertes d’exploitation et les coûts de remise en état de son SI, sans être certain que l’agence régionale de santé lui attribuerait une aide ponctuelle.
Les premières cyberattaques d’envergure ont concerné des établissements publics de santé : le CHU de Rouen en 2019, puis l’hôpital de Dax-Côte d’Argent en 2020. Depuis, lescyberattaques se sont intensifiées et plusieurs incidents ont eu une résonance médiatique forte comme ce fut le cas en 2022 pour le Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes. Et la liste se poursuit en 2023 et 2024, avec notamment l’hôpital de Brest, le CHU de Rennes, quatre établissements du groupe Ramsay ainsi que des cliniques du groupe Elsan, le CH d’Armentières...
Un coût de 30 millions d’euros pour un hôpital de taille moyenne
Selon les évaluations réalisées par des hôpitaux victimes de cyberattaque, le coût pour un établissement peut atteindre 10 millions d’euros pour la gestion de la crise et la remédiation et 20 millions d’euros pour la perte de recettes d’exploitation, analysent les rapporteurs. Ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données, médicales et non médicales, de patients et de professionnels de santé, toujours selon les rapporteurs.
L’arrêt du fonctionnement de services médicaux peut en outre entraîner la déprogrammation de prises en charge et, dans certains cas, le transfert de patients vers d’autres hôpitaux avec, nécessairement, des risques à court et moyen terme sur la continuité et la qualité des soins (séquelles, perte de chances…), risques ou conséquences effectives non mesurés aujourd’hui.
Programme Care
Face à cette menace, le ministère de la Santé et de l’Accès aux soins a souhaité faire monter en maturité les hôpitaux, très en retard sur le sujet par rapport à d’autres secteurs. Il a lancé en décembre 2023 le programme Cyber Acceleration et Résilience des établissements de santé). En 2024, deux premiers dispositifs de financement ont été mis en œuvre dans 85 % des établissements éligibles candidats
Le premier volet doté d’une enveloppe de 65 millions d’euros concerne un appel à financement dans le domaine Audits techniques. Il touche d’une part les annuaires techniques (Active Directory), et d’autre part l’exposition sur internet, qui est la porte d’entrée principale exploitée par les attaquants. Résultat, cette politique mise en place par les pouvoirs publics a déjà récolté des fruits. Sur plus de 1 000 établissements audités, la part des établissements ayant un Active Directory présentant une vulnérabilité majeure a baissé de 20 points entre mai 2024 et février 2025. Idem sur le volet de l’exposition internet, où la part des établissements présentant des vulnérabilités critiques diminue fortement (- 35 points entre août 2024 et janvier 2025).
Quant aux professionnels de santé, ils sont ciblés par le deuxième volet, l’axe 4 du programme Care qui a pour objectif de limiter les risques d’usurpation de l’identité numérique des professionnels pour l’accès aux services sensibles. Doté d’une enveloppe de 1,4 million d’euros en 2024, il fait l’objet depuis avril d’une expérimentation menée dans les établissements candidats. Un premier bilan sera partagé à l’été 2025.
Article précédent
Ressources humaines : numérique et intelligence artificielle sont l’affaire de tous
Article suivant
Comment gérer la crise en cas d’attaque, un RSSI témoigne
L’IA, déjà une réalité mais pas sans de bonnes pratiques
Dr Yann-Maël Le Douarin (DGOS) : « Analysons les solutions d’intelligence artificielle sereinement et ensemble »
Ressources humaines : numérique et intelligence artificielle sont l’affaire de tous
Sécurité informatique, prévenir coûte (bien) moins cher que guérir
Comment gérer la crise en cas d’attaque, un RSSI témoigne
Pourquoi l’usage du DMP traîne autant à l’hôpital
Clinique des données du CHU de Nantes : vers un outil d’aide à la décision pour détecter les anévrismes intracrâniens
Fin de vie : les doyens de médecine s’opposent à une formation obligatoire à l’aide à mourir
La justice ordonne la prise en charge des soins chirurgicaux d’une transition de genre
Fin de vie : Macron évoque un référendum en cas d’enlisement des débats parlementaires
Fin de vie : Catherine Vautrin promet d’encadrer strictement l’aide à mourir, le gouvernement reste divisé