Tous les matins après le journal de 8h30, Emmanuelle Ducros dévoile aux auditeurs son «Voyage en absurdie», du lundi au jeudi.
La cour des comptes s’inquiète. Nos hôpitaux n’ont aucune défense immunitaire contre les cyberattaques.
Dans un rapport publié vendredi, la Cour des comptes s’inquiète. Elle s’inquiète à sa manière, en faisant les comptes. Et elle estime que la France n’a pas assez bordé son programme de renforcement de la cybersécurité dans les hôpitaux. Il avait été lancé en 2023 après une vague de cyberattaques particulièrement dommageable. Il prévoyait un financement de 750 millions d’euros sur cinq ans (de 2023 à 2027)... Ca, c’est la théorie, parce que l’engagement financier n’était assuré que jusqu’à la fin de l’année 2024. On a dépensé 225 millions d’euros et c’est fini. Et ca n’est vraiment pas suffisant
C’est grave docteur ?
Oui : nos hôpitaux sont vulnérables. Pour deux raisons. D’abord, parce que leurs architectures informatiques sont complexes, avec de nombreux intervenants. Ça veut dire que la première cause d’infection des systèmes, c’est à dire l’erreur humaine, ou le manque de vigilance, est démultipliée. Et puis, les systèmes informatiques sont vieux. 20 % des postes de travail dans les hôpitaux publics ont un système d’exploitation hors de maintenance ou obsolète. Pire, un quart des équipements de réseaux ne peuvent plus être mis à jour ou réparés en cas de panne. Ca veut dire qu’en cas d’attaque, on a toute les peines du monde à faire tourner les sauvegardes et les plans de continuité.
Et donc, les hôpitaux sont des proies de luxe pour les bandits de l’informatique.
L'agence nationale en charge de la sécurité informatique, l’Ansii, a compté, elle aussi : 10% des attaques informatiques en France concernent les hôpitaux. Entre 2022 et 2024, 32 d'entre eux ont fait l’objet d’une cyberattaque de type particulier, par rançongiciel. Rançongiciel, ça veut dire que les pirates capturent les données du système et ne les rendent, théoriquement, que contre une grosse somme d’argent. Derniers en date : Armentières et Cannes.
On peut se retrouver avec des données privées dans la nature.
Oui, c’est arrivé fin novembre, avec des données d’un groupe de cliniques privées d’Île de France, mise aux enchères par des escrocs. Mais ce n’est pas le pire. La Cour des comptes dresse un panorama des conséquences des attaques informatiques sur la prise en charge des patients : des services temporairement fermés (le plus souvent, les urgences), des opérations reportées, des admissions réduites, des activités clé mises à l’arrêt. La stérilisation du matériel, le stockage des données de radiothérapie. Parfois aussi, l’impossibilité d’accéder aux dossiers des patients. Tout ça peut avoir des conséquences qui font froid dans le dos. Des pertes de chance, ou plus grave.
La Cour des comptes rapporte qu’en 2023, 68 patients ont été potentiellement mis en danger. Une personne a même failli perdre la vie à cause d’une cyberattaque. Clairement, ce n’est pas sur ce genre de postes qu’il faut faire des économies.
