Dans un rapport publié le 3 janvier 2025, la Cour des comptes a dressé le bilan des cyberattaques ayant visé les hôpitaux français entre 2019 et 2023. Durant ces quatre années, les établissements de santé situés en France ont en effet essuyé une vague sans précédent d’attaques informatiques.
« Parmi les pays européens, la France est celui qui apparaît comme le plus touché par les cyberattaques dans le secteur de la santé », regrette la Cour, citant le premier rapport de l’Agence européenne pour la cybersécurité (ENISA).
En 2023, 10 % des victimes de cyberattaques étaient d’ailleurs des hôpitaux, souligne la Cour des comptes, relayant les conclusions de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Bien souvent, les offensives sont orchestrées par des pirates spécialisés dans les ransomwares. Ceux-ci ont piraté plus de 30 établissements en deux ans. Les cyberattaques prennent « principalement la forme de
“compromissions” du système d’information, c’est-à-dire de violations de bases de données et de codes confidentiels », explique la Cour.
À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées
Des équipements obsolètes et des budgets restreints
Pour expliquer l’explosion des cyberattaques contre les hôpitaux, la Cour des comptes pointe d’abord du doigt la « vulnérabilité des systèmes d’information », jugés fragiles, trop complexes et vétustes. Selon le rapport, 20 % des équipements sont obsolètes. Cette vulnérabilité découle essentiellement d’un « sous-investissement chronique dans le numérique ». En miroir des collectivités françaises, les hôpitaux n’investissent pas assez d’argent dans leurs infrastructures pour se protéger des pirates.
Comme le souligne le rapport, les attaques informatiques ont de sérieuses conséquences « sur le fonctionnement des établissements de santé et sur la prise en charge des patients ». Il n’est pas rare qu’une cyberattaque oblige un hôpital à chambouler ses activités, à déprogrammer des opérations ou à transférer des patients vers d’autres établissements. C’est évidemment un danger pour la santé des patients.
Le rapport prend pour exemple la cyberattaque contre l’hôpital d’Armentières début 2024. Revendiquée par les pirates de Lockbit, l’attaque a contraint l’établissement à rediriger ses patients vers d’autres structures, tandis que les urgences restaient fermées pendant trois jours pour « garantir la sécurité des patients » et permettre la remise en état des systèmes endommagés.
Dans le cadre de leur intrusion, les cybercriminels ont volé les données médicales sensibles de 230 000 patients à l’aide de leur ransomware. On se souviendra aussi de l’offensive de Lockbit contre l’hôpital de Cannes – Simone Veil en avril dernier, qui a obligé les administrateurs à reporter « l’activité programmée non urgente » et les « consultations non-urgentes ». Là encore, des données médicales ont été dérobées.
Le rapport évoque aussi une cyberattaque qui a paralysé un hôpital français et réduit de 20 % son activité en chirurgie et obstétrique. Il a fallu 18 mois à la clinique pour reconstruire le système d’information. Pendant ce temps, la gestion manuelle des soins a provoqué de sérieux retards et des erreurs.
Le cout colossal de la cybercriminalité
Par ailleurs, la juridiction financière indique que l’essor des cyberattaques a couté une fortune au système de santé de la France. Les intrusions informatiques, qui s’accompagnent généralement de vols de données ou du blocage d’infrastructures, font perdre énormément d’argent aux hôpitaux touchés.
Parmi les plus grosses dépenses des établissements qui se retrouvent dans le viseur des pirates, on trouve la « reconstruction du système d’information ». Les hôpitaux doivent débourser des sommes importantes pour relancer leurs infrastructures informatiques, paralysées par un virus. Ces dépenses permettent « la reconstruction du réseau, la remise en service de l’ensemble des éditeurs et logiciels associés ou, encore, des coûts de sous-traitance pour certaines activités à l’arrêt ».
Par exemple, l’hôpital d’Armentières a subi un préjudice estimé à deux millions d’euros. Ce montant englobe tous les coûts liés à la gestion de la crise, aux mesures correctives et à la diminution des revenus de l’hôpital. De son côté, le centre hospitalier de Dax a injecté 2,3 millions d’euros pour se remettre d’une intrusion survenue en 2021. Enfin, le centre hospitalier de Versailles, victime d’une cyberattaque en 2022, évoque une perte de 20 millions d’euros de recettes.
Une réaction tardive
La Cour des comptes regrette que les pouvoirs publics aient réagi avec un retard considérable au problème posé par les cyberattaques. Un programme de prévention et de protection, financé à hauteur de 750 millions d’euros, a en effet été lancé en 2023 afin de renforcer la sécurité des systèmes d’information des hôpitaux. Bien qu’il arrive un peu tard, ce programme doit impérativement être maintenu, estime la juridiction.
Par ailleurs, la Cour recommande de créer un groupe national d’experts pour évaluer les pertes financières en cas de cyberattaques majeures et proposer, si nécessaire, des mesures fortes, comme la suppression de certaines obligations administratives pour les hôpitaux les plus touchés. Le rapport souhaite aussi que des mesures financières supplémentaires soient décrétées.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cour des Comptes