L’amélioration de la sécurité informatique dans les établissements de santé en France est désormais cruciale, en raison d’un sous-investissement chronique et d’une obsolescence croissante des équipements. La Cour des comptes a récemment mis en lumière ces problématiques, soulignant la vulnérabilité des hôpitaux français face aux cyberattaques, illustrée notamment par l’incident majeur du CHU de Rouen en 2019. L’urgence d’une prise de conscience et d’une réponse appropriée n’a jamais été plus pressante.
Les Enjeux des Investissements Numériques
Sous-Investissement Chronique en Informatique
Le rapport révèle que les établissements de santé consacrent seulement 1,7 % de leur budget d’exploitation au numérique, un pourcentage largement inférieur à celui d’autres secteurs tels que la banque (9 %) ou l’industrie des biens de consommation (2 %). Cette allocation budgétaire limitée exacerbe l’obsolescence des équipements, notamment des réseaux, qui ne peuvent plus être mis à jour ou réparés en cas de panne. En comparaison, un grand nombre d’entre eux n’ont pas su suivre l’évolution rapide des technologies de l’information et de la communication, ce qui les rend particulièrement vulnérables aux cybermenaces.
Vulnérabilité et Attaques Ransomware
La cyberattaque contre le CHU de Rouen en novembre 2019 a marqué un tournant dans la conscience collective, mettant en lumière la vulnérabilité structurelle des systèmes d’information hospitaliers. Selon la Cour des comptes, environ 10 % des victimes d’attaques par ransomware sont des hôpitaux, une statistique alarmante qui souligne la nécessité d’une meilleure protection. Les systèmes d’information des plus grands CHU sont composés de centaines, voire de milliers d’applications, augmentant ainsi la complexité de leur maintenance et de leur sécurisation.
Diagnostic de l’Équipement Obsolète
État des Postes de Travail et des Réseaux
Le constat dressé par la Cour des comptes est sans appel : 19 % des postes de travail dans les hôpitaux publics ont plus de sept ans ou ne disposent plus d’un système d’exploitation maintenu. Ce chiffre contraste fortement avec les 11 % observés dans les établissements privés à but non lucratif et les 8 % dans le privé à but lucratif. Les équipements réseaux ne sont pas en reste, avec environ 23 % de ceux-ci étant irrécupérables ou impossibles à mettre à jour, ce qui compromet sérieusement la sécurité des procédures médicales et administratives quotidiennes.
Applications et Systèmes Informationnels
La situation des hôpitaux publics est également préoccupante en ce qui concerne les applications logicielles. Environ 22 % des applications utilisées sont obsolètes, contre seulement 5 % dans les établissements privés à but lucratif. Cette obsolescence généralisée crée un terreau fertile pour les failles de sécurité et les attaques ciblées, rendant les systèmes hospitaliers extrêmement vulnérables. La diversité et la multiplicité des applications dans les CHU ajoutent une couche de complexité supplémentaire à cette problématique.
Perspectives d’Amélioration
Feuille de Route Numérique 2023-2027
La feuille de route du numérique en santé 2023-2027 prévoit une augmentation substantielle des investissements dans les infrastructures numériques des hôpitaux, avec un objectif d’au moins 2 % du budget total. Une part importante de ces financements sera dédiée à la cybersécurité et à l’amélioration des infrastructures. Le programme Care, avec une enveloppe de 750 millions d’euros sur cinq ans, est l’une des initiatives phares de ce plan, bien que son financement ne soit sécurisé que jusqu’à fin 2024, selon la Cour des comptes.
Rôle des Groupements Hospitaliers de Territoire
Depuis leur création en 2016, les groupements hospitaliers de territoire (GHT) visaient à améliorer l’efficacité et la qualité des soins en optimisant les ressources. Toutefois, cette initiative n’a pas encore atteint son plein potentiel, en partie à cause d’un manque de soutien à la fois local et national. Le rapport recommande de doter les GHT de la personnalité morale pour renforcer leur capacité de gouvernance et leur efficacité opérationnelle, condition essentielle pour atteindre les objectifs fixés.
Recommandations et Actions Futures
Réalisation du Programme Care et Évaluation des Pertes
La Cour des comptes met en avant plusieurs recommandations pour renforcer la sécurité informatique des établissements de santé. Parmi celles-ci, la réalisation intégrale du programme Care est primordiale. Il est également conseillé d’évaluer les pertes de recettes causées par les cyberattaques afin de pouvoir compenser efficacement ces pertes, garantissant ainsi une stabilité financière et opérationnelle des hôpitaux affectés.
Modernisation des Audits et Financement
L’amélioration de la sécurité informatique dans les établissements de santé en France est devenue une priorité essentielle, car elle souffre depuis longtemps d’un sous-investissement chronique et d’une obsolescence progressive des infrastructures. La Cour des comptes a récemment souligné ces défaillances, mettant en évidence la grande vulnérabilité des hôpitaux français face à la montée des cyberattaques. L’exemple le plus marquant de cette situation est l’incident majeur au CHU de Rouen en 2019, qui a mis en lumière les failles du système de sécurité des réseaux hospitaliers. À la suite de cet événement critique, l’urgence d’une prise de conscience collective et l’implémentation de mesures de sécurité adéquates n’ont jamais été aussi cruciales. La situation exige donc des investissements significatifs pour moderniser les infrastructures et renforcer les défenses contre les cybermenaces afin de protéger les données sensibles des patients et garantir ainsi la continuité des soins de santé.
