Stratégie

La Cour des comptes pointe les risques cyber du sous-investissement IT des établissements de santé

La Cour des comptes pointe les risques cyber du sous-investissement IT des établissements de santé
La première cyberattaque d'envergure sur un établissement de santé public a visé le CHU de Rouen en novembre 2019. (Photo : Google Maps)

Dans un rapport, la juridiction financière épingle un sous-investissement informatique chronique des établissements de santé et une obsolescence des équipements, en particulier réseaux, qui ne peuvent plus être mis à jour ou réparés en cas de panne.

PublicitéAprès l'Anssi, qui s'est récemment intéressé à l'état de la cybermenace sur le secteur de la santé, la Cour des comptes a livré ses observations sur la sécurité informatique des établissements de santé. Après avoir rappelé la forte exposition des hôpitaux aux cyberattaques - à eux seuls, ils ont constitué 10 % des victimes d'attaques par ransomware -, l'institution tire la sonnette d'alarme : « la fragilité des systèmes d'information hospitaliers tient à leur complexité croissante, mesurée en nombre d'applications, sans équivalent dans d'autres secteurs d'activité (jusqu'à 1 000 applications pour les CHU les plus importants), et au sous-investissement chronique dans le numérique (1,7 % du budget d'exploitation en moyenne contre 9 % dans la banque et 2 % dans l'industrie des biens de consommation) », indique la Cour des comptes.

Ce faible niveau d'investissement n'est pas sans conséquence sur la bonne santé des équipements informatiques, frappés par des niveaux élevés d'obsolescence. Selon l'enquête de la Cour des comptes, 19 % des postes de travail ont plus de 7 ans ou un système d'exploitation plus maintenu contre 11 % dans les établissements privés à but non lucratif et 8 % pour ceux à but lucratif. Cette différence est encore plus marquée s'agissant des équipements réseau dont 23 % ne peuvent plus être mis à jour ou réparés en cas de panne, soit deux fois plus que dans le privé (11 %). Par ailleurs 22 % du parc applicatif métier est obsolète dans les établissements de santé publique, contre seulement 5 % dans le privé à but lucratif, mais 18 % pour ceux à but non lucratif.


Dépenses en informatique rapportées au budget total des établissements de santé publics et privés à but non lucratif (en 2022). (Source : Observatoire des systèmes d'information de santé)

Doter les GHT de personnalité morale

La situation pourrait-elle s'améliorer ? Selon la feuille de route du numérique en santé 2023-2027, à cette échéance, les établissements de santé devraient pouvoir consacrer en moyenne au moins 2% de leur budget au numérique dont un dixième à la cybersécurité et aux infrastructures. « Le programme Cyberaccélération et résilience des établissements (Care) prévoit un financement de 750 M€ en faveur de la sécurité des systèmes d'information sur cinq ans (de 2023 à 2027). Toutefois, cet engagement financier n'est assuré que jusqu'à la fin de l'année 2024. Il est indispensable qu'il soit poursuivi jusqu'au terme du programme », note la Cour des comptes.

PublicitéAvec pour objectif commun d'améliorer à la fois l'efficacité et la qualité des soins tout en rationalisant la consommation des ressources, la création des groupements hospitaliers de territoire (GHT) en 2016 est loin d'avoir porté tous ses fruits. « La convergence qui était attendue des 136 GHT, notamment en matière de systèmes d'information, demeure très inégale par manque d'impulsion locale et nationale », peut-on lire dans le rapport. « La construction d'un environnement numérique unifié et sécurisé, favorable à la coopération entre établissements publics, à l'amélioration de la qualité des soins et à l'optimisation des ressources financières et humaines doit donc être poursuivie et accélérée au vu des menaces auxquelles les hôpitaux sont confrontés. Doter les groupements hospitaliers de territoire de la personnalité morale serait un facteur déterminant pour atteindre cet objectif. »

Parmi les autres recommandations émises : exécuter le programme Care, évaluer les pertes de recettes à compenser et aller jusqu'à accorder dans certains cas graves une dispense de codification a posteriori des activités hospitalières, mettre en place un audit périodique obligatoire pouvant entrer dans le dispositif d'incitation à la qualité et dans la certification par la Haute autorité de santé ou encore mettre fin à l'utilisation d'un fonds de concours pour le financement de la délégation au numérique en santé.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis