linkedin x youtube
Nos offres
profile-avatar

Cyber : la Cour des comptes recommande d’instaurer des audits périodiques des établissements de santé (Rapport)

Publié le lundi 06 janvier 2025 à 10h33

Cyber Acteur public

Instaurer des audits périodiques des établissements de santé concernant la sécurité de leurs systèmes d'informations : c'est l'une des recommandations formulées par la Cour des comptes dans son rapport sur la sécurité informatique des systèmes d'informations hospitaliers faisant suite à la multiplication des cyberattaques en direction des hôpitaux français.

Des infrastructures vieillissantes qui n’aident pas dans un paysage de menaces croissantes

Depuis plusieurs années, la Cour des comptes s’intéresse aux systèmes d’information hospitaliers (SIH), notamment avec un rapport en 2016 sur leur modernisation et une analyse des groupements hospitaliers de territoire (GHT) en 2020. Son rapport publié en janvier 2025 concerne la sécurité informatique des SIH et dresse des observations sur les exercices 2019 à 2023. Ce rapport intervient aussi dans un contexte marqué par l’intensification des cyberattaques, comme celles ayant touché les centres hospitaliers de Cannes et d’Armentières en 2024.

Le rapport s’ouvre sur un constat : en 2023, les hôpitaux représentaient 10 % des victimes de rançongiciels en France, une proportion alarmante. Parmi les causes de l’augmentation des cyberattaques en direction des systèmes d’informations hospitaliers, la Cour des comptes pointe des infrastructures numériques vieillissantes, avec plus de 20 % des équipements informatiques obsolètes. Les budgets alloués au numérique, représentant seulement 1,7 % des dépenses d’exploitation des établissements de santé (contre 9 % dans le secteur bancaire), accentuent la vulnérabilité. Ces failles engendrent des interruptions de service prolongées, des vols de données sensibles et des coûts financiers importants, jusqu’à 10 millions d’euros par crise, auxquels s’ajoutent 20 millions d’euros de pertes de recettes dans certains cas.

La Cour qui salue une réponse qu’elle qualifie de tardive :

Après avoir dresse l’état des SIH en France, la Cour explore les mesures nécessaires pour renforcer la réponse nationale face à ces menaces. Elle met en lumière l’évolution récente du cadre juridique européen, notamment avec la directive NIS 2, qui impose des standards élevés de cybersécurité aux établissements de santé. En France, une réorganisation de la gouvernance a été amorcée, mais le rapport insiste sur la nécessité de la parachever.

Le programme quinquennal, baptisé Care, qui a été lancé pour financer la modernisation des infrastructures numériques des hôpitaux et qui vise à renforcer la résilience des systèmes jusqu’en 2027 est salué par la Cour. Elle souligne cependant qu’il intervient tardivement et que des axes d’amélioration, notamment dans la coordination des audits techniques et la pérennisation des financements doivent être déployés au-delà de cette échéance. Le rapport appelle ensuite à une stratégie nationale d’audit et de certification renforcée. La montée en puissance d’un volet numérique dans la certification des établissements, piloté par la Haute Autorité de santé (HAS) et l’Agence du numérique en santé (ANS), est saluée, mais il reste nécessaire d’harmoniser les démarches d’audit à l’échelle nationale.

Faire évoluer les pratiques des établissements :

Dans un deuxième temps, le rapport examine les leviers permettant d’améliorer la cybersécurité au niveau local et régional. Une action clé est d’harmoniser les interventions des agences régionales de santé (ARS) et des groupements régionaux d’appui au développement de l’électronique en santé (Grades). Actuellement, ces réponses varient fortement selon les régions, certaines ARS étant bien mieux équipées en compétences et ressources que d’autres.

Le rapport insiste également sur la nécessité de mutualiser les compétences dans les groupements hospitaliers de territoire (GHT). Cela inclut l’unification des directions des systèmes d’information et la généralisation des bonnes pratiques, comme la segmentation des réseaux ou la sécurisation des accès. La mise en place de dossiers patients informatisés mutualisés, tout en augmentant l’efficacité, doit être accompagnée d’une gestion rigoureuse des risques liés à la convergence des systèmes.

La formation et la sensibilisation du personnel hospitalier sont identifiées comme des priorités. La rareté des ressources humaines compétentes en cybersécurité appelle à des efforts accrus pour attirer et former des talents.

L’instauration d’audits périodiques obligatoires dans les établissements de santé parmi les 4 recommandations de la Cour

Après avoir alerté sur l’urgence de renforcer la sécurité informatique des hôpitaux pour garantir la continuité des soins et protéger les données des patients et la nécessité de mettre en oeuvre des initiatives prometteuses par le biais de coordinations accrues entre les acteurs nationaux et locaux, un financement pérenne et une mobilisation collective, la Cour des comptes formule quatre recommandations prioritaires pour renforcer la sécurité des SIH.

1️⃣ Elle propose la création d’un groupe national d’expertise, chargé d’évaluer les pertes de recettes en cas de cyberattaques majeures et de développer des mécanismes d’accompagnement financier pour les hôpitaux les plus touchés. Cette structure permettrait d’assurer un soutien rapide et adapté en cas de crise.

2️⃣ Le rapport insiste également sur la nécessité de pérenniser le programme Care qui prévoit une enveloppe de 750 millions d’euros sur cinq ans pour moderniser les infrastructures numériques des établissements de santé. La Cour recommande de garantir ce financement jusqu’en 2027, afin de maintenir la dynamique engagée.

3️⃣ La troisième recommandation porte sur l’instauration d’audits périodiques obligatoires dans les établissements de santé. Ces audits viseraient à évaluer systématiquement leur niveau de cybersécurité et à intégrer leurs résultats dans les critères de certification de la HAS. Cette approche permettrait de renforcer la transparence et d’encourager des efforts constants en matière de protection informatique.

4️⃣ Enfin, la Cour préconise un renforcement de la gouvernance des groupements hospitaliers de territoire. En dotant les GHT de la personnalité morale, il serait possible de faciliter la mutualisation des ressources et d’accélérer la convergence des systèmes d’information, encore marqués par une hétérogénéité importante.

La nécessité d’une coordination européenne :

Le rapport souligne également l’importance d’une mobilisation collective pour relever les défis croissants de la cybersécurité dans les établissements de santé. Il insiste sur l’opportunité offerte par la transposition de la directive européenne NIS 2, qui pourrait permettre de rehausser les standards de protection et de mieux coordonner les efforts à l’échelle nationale et européenne.

FermerPlease login

No account yet? Register

A lire également
Cybersécurité : les établissements de santé, proies favorites des cybercriminels (Rapport Anssi)

Publié le 08/11/2024

Données : augmentation de 8% des plaintes reçues par la Cnil en 2024 (rapport)

Publié le 02/05/2025

Données : une augmentation de 8 % des plaintes reçues par la Cnil pour violation de données personnelles en 2024 (rapport)

Publié le 02/05/2025

Cybersécurité : la DNS publie une instruction pour renforcer la sécurité des SI en santé

Publié le 07/03/2025

membres-icon

Derniers membres

Illustration du profil de Sandrine
Sandrine inscrit il y a 3 mois et 3 semaines
Illustration du profil de Celine
Celine inscrit il y a 7 mois et 1 semaine
Illustration du profil de Anne MAHEUST
Anne MAHEUST inscrit il y a 7 mois et 1 semaine
Illustration du profil de Guillaume
Guillaume inscrit il y a 8 mois et 1 semaine
Illustration du profil de Nabil
Nabil inscrit il y a 10 mois et 3 semaines
Illustration du profil de Mayssa
Mayssa inscrit il y a 1 an et 1 mois
Illustration du profil de Pierre
Pierre inscrit il y a 1 an et 1 mois
Illustration du profil de Qiaoli Vrinat
Qiaoli Vrinat inscrit il y a 1 an et 1 mois
Tous les membres
events-icon

Événements

Dernier événement en vidéo

Retrouvez les meilleurs moment du RDV 2023 des datatransformeurs.

next-event

4e assises citoyennes du numérique en santé : restitution des recommandations sur l’EHDS (22/01)

Le comité citoyen organisé par la Délégation au Numérique en Santé s’est réuni durant trois week-end pour produire des recommandations relatives au règlement sur l’espace européen des données de santé (EEDS). Les Assises citoyennes constituent le moment de restitution publique de ces recommandations et les débats et principes proposés par le comité citoyen y seront présenté. L’utilisation secondaire des données de santé à des fins de recherche, d’innovation, ou de l’utilisation primaire des données de santé seront notamment abordés.