06-01-2025, 14:31
La cours des comptes pointe un retard sur la protection des systèmes informatiques.
Obsolescence d’équipements, personnels pas assez formés au cyber risque et complexité croissante des systèmes d’information, la sécurité informatique des hôpitaux en France est insuffisante, selon un rapport de la cour des comptes paru ce 3 janvier.
Dans la nuit du 10 au 11 février 2024, l’hôpital d’Armentières avait fonctionné sans internet tandis que les patients étaient dirigés vers d’autres établissements de santé après une cyberattaque. Attribuée au groupe LockBit, réseau mondial de hackers, cette intrusion avait conduit au vol de 10 giga octets de données concernant 230 000 patients, précise le rapport de la Cour des comptes paru ce vendredi 3 janvier. Les urgences avaient été fermées pendant trois jours pour « garantir la sécurité des patients et permettre aux équipes de se concentrer sur le rétablissement des systèmes critiques ».
Une « cellule composée d’experts de la sécurité des systèmes d’information de l’établissement et du CHU de Lille (établissement support du GHT) » avait été constituée, tandis que des assemblées générales du personnel se sont réunies pour informer les professionnels du site, précise le rapport. Le préjudice, qui comprend le coût de la gestion de crise, de la remédiation ainsi que la perte de recettes, s’est élevé à 2 millions d’euros.
Les Hôpitaux, 10% des victimes d’attaques par des rançongiciels.
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, publics et privés. La première, d’envergure concerne le CHU de Rouen en novembre 2019, poursuit le rapport. Neuf autres majeures ont été enregistrées, dont la plus récente est celle de Cannes en avril 2024.
L’usage du numérique, la vulnérabilité de leurs systèmes d’information et leur exposition accrue les classent au troisième rang des secteurs les plus touchés, après les collectivités et les très petites, petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire. C’est aussi le pays qui apparaît le plus frappé par les cyberattaques dans ce secteur, selon un rapport de l’Agence européenne pour la cybersécurité paru en 2023. Ainsi, de janvier 2021 à mars 2023, la France en a été victime 43 fois, suivi de l’Espagne (25 fois), puis de l’Allemagne (23 fois). Dans un rapport de novembre de 2024, l’Anssi précise avoir « été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé » en 2022 et 2023.
Les hôpitaux ne sont pas spécifiquement visés par les hackers, mais seraient plutôt victimes d’une « pêche au chalut dans laquelle les attaquants ne ciblent personne en particulier et tout le monde en général », estime le secrétariat général de la défense et de la sécurité nationale. La forme la plus courante est celle de la « compromission du système d’information, c’est-à-dire de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels ». L’Anssi a recommandé aux structures touchées de ne jamais payer de rançon.
Leur fragilité est liée à la complexité croissante de leur système d’information, sans équivalent dans d’autres secteurs d’activité et au sous-investissement chronique dans le numérique. À titre de comparaison, c’est en moyenne 1,7 % du budget d’exploitation contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), « auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements […] et la prise en compte insuffisante des enjeux de la cybersécurité par le personnel hospitalier ».
De lourdes conséquence, également sur la santé
Les conséquences sont lourdes, entraînant des effets directs sur le fonctionnement des établissements de santé et la prise en charge des patients. Ainsi, les interruptions de service durent, parfois, plusieurs mois en plus du vol de données médicales et personnelles. Selon le rapport, le coût peut atteindre jusqu’à 10 millions d’euros pour la gestion de crise et remédiation, et 20 millions d’euros pour la perte de recette d’exploitation. Par exemple, un centre hospitalier de 800 lits, avec 35 500 séjours en hospitalisation complète, a mis 18 mois pour reconstruire son système d’information.
Selon la Cour des comptes, « les autorités publiques ont réagi avec retard en finançant sur cinq ans un programme de prévention et de protection ». Chiffré à hauteur de 750 millions d’euros en faveur de la sécurité des systèmes d’information sur une période de cinq ans (2023 à 2027), « cet engagement n’est assuré que jusqu’à la fin de l’année 2024. Il est indispensable qu’il soit poursuivi jusqu’au terme du programme », insiste-t-elle.
Parmi ses préconisations, la juridiction financière appelle entre autres à la poursuite et l’accélération de la construction d’un environnement numérique unifié et sécurisé au sein des groupements hospitaliers du territoire (GHT), qui devraient être dotés d’une personnalité morale pour atteindre cet objectif. Elle recommande aussi d’inclure la culture du cyber risque aux formations initiales.
Sources : Cyberattaques d’hôpitaux dont celui d’Armentières : la Cour des comptes pointe un retard sur la protection des systèmes informatiques - La Voix du Nord
Obsolescence d’équipements, personnels pas assez formés au cyber risque et complexité croissante des systèmes d’information, la sécurité informatique des hôpitaux en France est insuffisante, selon un rapport de la cour des comptes paru ce 3 janvier.
Dans la nuit du 10 au 11 février 2024, l’hôpital d’Armentières avait fonctionné sans internet tandis que les patients étaient dirigés vers d’autres établissements de santé après une cyberattaque. Attribuée au groupe LockBit, réseau mondial de hackers, cette intrusion avait conduit au vol de 10 giga octets de données concernant 230 000 patients, précise le rapport de la Cour des comptes paru ce vendredi 3 janvier. Les urgences avaient été fermées pendant trois jours pour « garantir la sécurité des patients et permettre aux équipes de se concentrer sur le rétablissement des systèmes critiques ».
Une « cellule composée d’experts de la sécurité des systèmes d’information de l’établissement et du CHU de Lille (établissement support du GHT) » avait été constituée, tandis que des assemblées générales du personnel se sont réunies pour informer les professionnels du site, précise le rapport. Le préjudice, qui comprend le coût de la gestion de crise, de la remédiation ainsi que la perte de recettes, s’est élevé à 2 millions d’euros.
Les Hôpitaux, 10% des victimes d’attaques par des rançongiciels.
Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), 10 % des victimes d’attaques par des rançongiciels étaient des hôpitaux, publics et privés. La première, d’envergure concerne le CHU de Rouen en novembre 2019, poursuit le rapport. Neuf autres majeures ont été enregistrées, dont la plus récente est celle de Cannes en avril 2024.
L’usage du numérique, la vulnérabilité de leurs systèmes d’information et leur exposition accrue les classent au troisième rang des secteurs les plus touchés, après les collectivités et les très petites, petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire. C’est aussi le pays qui apparaît le plus frappé par les cyberattaques dans ce secteur, selon un rapport de l’Agence européenne pour la cybersécurité paru en 2023. Ainsi, de janvier 2021 à mars 2023, la France en a été victime 43 fois, suivi de l’Espagne (25 fois), puis de l’Allemagne (23 fois). Dans un rapport de novembre de 2024, l’Anssi précise avoir « été informée de 30 compromissions et chiffrements par des rançongiciels ayant affecté des établissements de santé » en 2022 et 2023.
Les hôpitaux ne sont pas spécifiquement visés par les hackers, mais seraient plutôt victimes d’une « pêche au chalut dans laquelle les attaquants ne ciblent personne en particulier et tout le monde en général », estime le secrétariat général de la défense et de la sécurité nationale. La forme la plus courante est celle de la « compromission du système d’information, c’est-à-dire de violations de bases de données et de codes confidentiels, de messages électroniques malveillants et de rançongiciels ». L’Anssi a recommandé aux structures touchées de ne jamais payer de rançon.
Leur fragilité est liée à la complexité croissante de leur système d’information, sans équivalent dans d’autres secteurs d’activité et au sous-investissement chronique dans le numérique. À titre de comparaison, c’est en moyenne 1,7 % du budget d’exploitation contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation), « auxquels s’ajoutent l’obsolescence de plus de 20 % des équipements […] et la prise en compte insuffisante des enjeux de la cybersécurité par le personnel hospitalier ».
De lourdes conséquence, également sur la santé
Les conséquences sont lourdes, entraînant des effets directs sur le fonctionnement des établissements de santé et la prise en charge des patients. Ainsi, les interruptions de service durent, parfois, plusieurs mois en plus du vol de données médicales et personnelles. Selon le rapport, le coût peut atteindre jusqu’à 10 millions d’euros pour la gestion de crise et remédiation, et 20 millions d’euros pour la perte de recette d’exploitation. Par exemple, un centre hospitalier de 800 lits, avec 35 500 séjours en hospitalisation complète, a mis 18 mois pour reconstruire son système d’information.
Selon la Cour des comptes, « les autorités publiques ont réagi avec retard en finançant sur cinq ans un programme de prévention et de protection ». Chiffré à hauteur de 750 millions d’euros en faveur de la sécurité des systèmes d’information sur une période de cinq ans (2023 à 2027), « cet engagement n’est assuré que jusqu’à la fin de l’année 2024. Il est indispensable qu’il soit poursuivi jusqu’au terme du programme », insiste-t-elle.
Parmi ses préconisations, la juridiction financière appelle entre autres à la poursuite et l’accélération de la construction d’un environnement numérique unifié et sécurisé au sein des groupements hospitaliers du territoire (GHT), qui devraient être dotés d’une personnalité morale pour atteindre cet objectif. Elle recommande aussi d’inclure la culture du cyber risque aux formations initiales.
Sources : Cyberattaques d’hôpitaux dont celui d’Armentières : la Cour des comptes pointe un retard sur la protection des systèmes informatiques - La Voix du Nord
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
