Comment assurer la cybersécurité des établissements de santé ?
La transformation numérique dans le domaine de la santé a permis de révolutionner la manière dont les soins sont administrés et gérés. Cependant, cette numérisation accrue a également exposé les établissements de santé à des risques plus élevés.
De fait, selon l’ANSSI, les hôpitaux représentaient 10 % des victimes de rançongiciels en France en 2023.
Cette situation a conduit la Cour des comptes à s’intéresser à la question et à produire un rapport intitulé « La sécurité informatique des établissements de santé », paru en janvier 2025.
Il met en lumière les lacunes actuelles en matière de cybersécurité dans le domaine de la santé et propose des pistes pour y remédier.
Etablissements de santé et cybersécurité : un contexte préoccupant
L’évolution numérique et ses conséquences
Au cours des dernières années, les établissements de santé ont adopté des outils numériques pour optimiser leurs opérations.
Les nouvelles technologies se retrouvent dans tous les services et dans toutes les couches des établissements de santé, des machines d’imagerie médicale jusqu’aux logiciels de gestion hospitalière.
Bien que ces avancées soient essentielles pour améliorer la qualité des soins, elles augmentent également l’exposition aux cyberattaques.
Les établissements de santé gèrent des données sensibles, notamment des informations personnelles et médicales des patients, qui sont particulièrement prisées par les cybercriminels.
La confidentialité, l’intégrité et la disponibilité de ces données doivent être garanties pour assurer la confiance des patients et le bon fonctionnement des services.
Par exemple, une cyberattaque ciblant un hôpital peut compromettre l’accès aux dossiers médicaux électroniques, retardant ainsi les diagnostics et les traitements.
Une diversité de cybermenaces
Le rapport de la Cour des comptes identifie plusieurs types de cyberattaques pouvant cibler les systèmes informatiques des établissements de santé :
- Les ransomwares : ces logiciels malveillants chiffrent les données des victimes et demandent une rançon pour en rétablir l’accès. Ces attaques peuvent paralyser entièrement un hôpital.
- Les violations de données : le vol de dossiers médicaux peut entraîner des conséquences graves, allant de l’usurpation d’identité au chantage.
- Les attaques DDoS (Distributed Denial of Service) : elles visent à rendre indisponibles les services en ligne des établissements, paralysant de facto une partie des services.
- Attaques de phishing : des tentatives de compromission des membres du personnel hospitalier pour accéder au réseau informatique ou exfiltrer des renseignements personnels.
- Défiguration de site Internet : une technique souvent utilisée par des hacktivistes pour faire passer un message politique avec une forte caisse de résonnance médiatique.
Le système de santé français pris pour cible ?
Selon l’ENISA, la France est le pays le plus touché au sein de l’Union européenne par les attaques informatiques dans le secteur de la santé au sens large (hôpitaux, laboratoires, mutuelles, industrie pharmaceutique, etc.) comme l’illustre l’infographie ci-dessous.
Source : ENISA. Carte des incidents de cybersécurité observés dans le domaine de la santé de janvier 2021 à mars 2023
Un constat qui est toutefois à relativiser pour au moins deux raisons. Premièrement, la France dispose de plus d’établissements de santé que les autres pays, élargissant ainsi la surface d’attaque.
Par ailleurs, depuis 2016, les établissements de santé français ont l’obligation de signaler tout incident grave de cybersécurité, ce qui n’est pas forcément le cas dans tous les pays européens.
Il n’en demeure pas moins que la cybersécurité du secteur de la santé est un vrai sujet dans notre pays.
Diagnostic de la cybersécurité dans les établissements de santé
Les principales lacunes identifiées
La Cour des comptes souligne plusieurs faiblesses structurelles et organisationnelles qui exposent les établissements de santé à des cyberrisques majeurs :
- Une gouvernance insuffisante
De nombreux établissements ne disposent pas d’une stratégie claire en matière de cybersécurité. Cette absence de gouvernance résulte souvent d’un manque de priorité accordé à ces enjeux, au profit d’autres contraintes budgétaires et opérationnelles. En outre, les directives nationales ne sont pas toujours adaptées aux besoins spécifiques des hôpitaux locaux.
- Des ressources humaines limitées
Les établissements souffrent d’un manque criant de spécialistes en cybersécurité. Les équipes en charge des systèmes d’information sont souvent sous-dimensionnées et insuffisamment formées pour faire face aux menaces actuelles. Les hôpitaux peinent à attirer des profils qui pourraient prétendre à un salaire beaucoup plus élevé dans un autre secteur d’activité. En conséquence, 5 % des postes dans les services informatiques des hôpitaux sont vacants.
- Des systèmes obsolètes
De nombreux établissements continuent d’utiliser des équipements et logiciels vieillissants. Ces systèmes, qui ne bénéficient plus de mises à jour, présentent des failles exploitables par les cybercriminels.
Source : Cour des comptes
- Une sensibilisation insuffisante
Le personnel hospitalier, qu’il soit administratif ou médical, n’est pas toujours conscient des bonnes pratiques en matière de cybersécurité. Cela peut se traduire par des comportements à risque, comme l’utilisation de mots de passe faibles ou le clic sur des liens de phishing.
Les conséquences des failles de sécurité
Les cyberattaques dans le secteur de la santé peuvent entraîner des répercussions profondes :
- Interruption des services : l’indisponibilité des systèmes peut obliger un établissement à fermer certains services essentiels comme les Urgences, à retarder des traitements vitaux, à décaler des admissions, etc.
- Perturbation des soins : avec un système informatique inopérant, il est très difficile pour le personnel hospitalier de continuer à assurer la sécurité des patients présents dans l’établissement. Comment savoir, par exemple, quel patient est dans quel chambre ?
- Perte de confiance : à la suite d’une cyberattaque ayant engendré une fuite de données, les patients et les partenaires peuvent mettre en doute la capacité de l’établissement à protéger des informations par essence ultraconfidentielles.
- Gestion administrative et financière : la paralysie des systèmes peut empêcher les services administratifs de gérer les mouvements financiers essentiels du quotidien (factures, paies, etc.).
- Coûts financiers élevés : d’après les estimations fournies par des hôpitaux ayant subi des cyberattaques, la facture totale d’une cyberattaque peut monter jusqu’à 20 millions d’euros en prenant en compte la perte de revenus d’exploitation.
Précisons que dans le coût des cyberattaques est parfois pris en charge par l’ARS via le fonds d’intervention régional mais que cela n’a rien de systématique. Certains hôpitaux victimes peuvent donc se retrouver dans une situation financière très complexe après une attaque informatique.
Comment améliorer la cybersécurité des établissements de santé ?
Renforcer la gouvernance
Il est indispensable de mettre en place une gouvernance claire et centralisée de la cybersécurité.
Cela inclut la désignation d’un responsable de la sécurité des systèmes d’information (RSSI) dans chaque établissement, ainsi que l’élaboration de plans stratégiques adaptés.
Les RSSI doivent être dotés d’une autorité suffisante pour imposer des changements et assurer la mise en œuvre des politiques de sécurité.
Augmenter les ressources humaines et techniques
Il est vital pour les établissements de santé d’investir à la fois dans le recrutement de personnels qualifiés pour œuvrer à la protection des systèmes, tout autant que dans le renouvellement des outils informatiques vieillissants.
Evidemment, dans les deux cas, l’aspect financier est un facteur tout autant clé que limitant dans un contexte budgétaire très complexe.
Favoriser la culture de l’audit et de la collaboration
Des audits réguliers doivent être réalisés pour identifier les failles et suivre les progrès réalisés.
Parallèlement, une meilleure coordination entre les établissements de santé peut être un facteur déterminant de résilience et une piste pour faire face au manque de moyens financiers.
Sensibiliser le personnel à la cybersécurité
Enfin, la formation du personnel est cruciale pour réduire les comportements à risque. Des campagnes de sensibilisation ciblées doivent être menées pour inculquer une réelle culture cyber au sein des équipes.
C’est tout le sens de la solution AvantdeCliquer qui propose une sensibilisation en continu et par l’action pour apprendre à déjouer les tentatives de phishing.
La Cour des comptes rappelle en effet que le phishing représente, en fonction des années, la première ou deuxième source d’incidents déclarés au Cert Santé.
Plus que jamais, l’humain doit donc être placé au centre de la protection des systèmes numériques dans les établissements de santé.
En savoir plus sur l’offre AvantdeCliquer dédiée au monde de la santé.
Conclusion : un besoin d’accompagnement dans la durée
La sécurité informatique est un enjeu critique pour le secteur de la santé. Si les établissements doivent encore combler de nombreuses lacunes, le rapport de la Cour des comptes fournit des recommandations concrètes pour renforcer leur résilience face aux cybermenaces.
La numérisation continue des services de santé nécessite un engagement constant en matière de cybersécurité. Cela nécessite notamment de fournir une aide financière sur le long terme aux établissements de santé.
Un élan déjà engagé par le programme « Cyberaccélération et résilience des établissements » (CaRE) qui prévoit un financement de 750 millions d’euros en faveur de la sécurité des systèmes informatiques de 2023 à 2027.
Tout en gardant en tête, comme le souligne la Cour des comptes, que « la fin du programme CaRE ne marquera pas la fin des besoins de sécurisation des systèmes d’information des établissements hospitaliers. »
DSI, RSSI, DPO, demandez une démonstration gratuite de la solution totalement automatisée de sensibilisation au phishing :