Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

Sécurité informatique des hôpitaux  (17 01 2025)

Nous vous proposons aujourd’hui cette note publiée le 9 janvier 2025 sur le site Vie-publique (cliquer ici pour accéder au site Vie-publique)

https://www.vie-publique.fr/en-bref/296776-securite-informatique-des-hopitaux-une-strategie-renforcer.html

Sécurité informatique des hôpitaux : une dynamique de protection à amplifier

Publié le 9 janvier 2025

Les cyberattaques se multiplient, dans un contexte de fortes tensions géopolitiques. Ciblant des établissements de santé, elles peuvent avoir de graves conséquences sur leur fonctionnement et sur la continuité et la qualité des soins. Le point sur la sécurité informatique de ces établissements en France.

La Cour des comptes a publié, le 3 janvier 2025, des observations sur l’état de la cybermenace au sein des hôpitaux et la réponse des pouvoirs publics. La Cour avance des pistes d’amélioration.

En 2023, 10% des victimes de cyberattaque sont des hôpitaux

Les hôpitaux se situent au 3e rang des secteurs les plus touchés, après les collectivités territoriales et les entreprises. Les principales menaces sont la compromission du système d’information (violation de bases de données et de codes confidentiels), les messages électroniques frauduleux et les rançongiciels, ces derniers étant les plus dommageables.

La fragilité des systèmes d’information (SI) hospitaliers tient :

  • à leur complexité (nombreuses applications) et à leur interconnexion avec des SI extérieurs ;
  • au sous-investissement dans le numérique. Les hôpitaux ne consacrent que 1,7% de leur budget d’exploitation au SI en 2022 ;
  • à la sensibilisation insuffisante du personnel hospitalier au cyber-risque.

Les établissements de santé ne déclarent pas toujours leurs incidents de cybersécurité. Les cyberattaques induisent :

  • des interruptions de service et le vol de données médicales et personnelles, ainsi que des dysfonctionnements opérationnels, logistiques ou financiers ;
  • des coûts élevésliés à la gestion de crise, à la reconstruction du réseau et à la perte de recettes.

Quelle réponse à la cybermalveillance ?

Un cadre juridique européen vise à garantir un haut niveau de sécurité dans l’Union :

  • la directive NIS 1 (Network and Information System Security – Sécurité des réseaux et de l’information), adoptée en 2016, demande aux États membres de se doter d’une gouvernance renforcée en la matière. En France, elle est assurée par l’Agence nationale de la sécurité des systèmes d’information (Anssi) ;
  • la directive NIS 2 (2022) durcit les exigences de cybersécurité et élargit le champ des structures concernées.

La gouvernance nationale de la cybersécurité en santé s’organise depuis peu. Elle repose essentiellement sur :

La DNS pilote la feuille de route du numérique en santé 2023-2027. Elle comprend le programme Cyberaccélération et résilience des établissements (CaRE), qui prévoit 750 millions d’euros sur cinq ans pour financer la sécurité des SI hospitaliers. En outre, la Haute Autorité de santé (HAS) a ajouté un volet numérique à son référentiel de certification des hôpitaux.

Pour une sécurité informatique accrue des hôpitaux

Dans ses observations, la Cour préconise :

  • d’instituer un groupe national d’expertise chargé d’évaluer les pertes de recettes à compenser en cas de cyberattaques majeures ;
  • de ne plus financer la DNS avec un fonds de concours ;
  • de mener à terme le programme CaRE ;
  • d’obliger les établissements à faire réaliser un audit périodique de leur sécurité informatique ;
  • d’octroyer aux groupements hospitaliers de territoire la personnalité morale.

Écrire un commentaire

Optionnel