Cybersécurité de nos hôpitaux, une mission de l’État ?

Officiellement hors du champ régalien, la Santé n’échappe pourtant pas aux enjeux de sécurité nationale. Face aux cyberattaques croissantes, parlementaires et experts dénoncent l’inaction de l’État, les failles budgétaires et l’absence de cadre clair de responsabilité.

Si officiellement la Santé n’est pas l’une des quatre fonctions régaliennes de l’État, la pandémie de Covid-19 en a certainement modifié la perception chez les citoyens, en ce sens qu’elle a eu des effets sur leur sentiment de sécurité, dont le maintien relève pour le coup de ces missions régaliennes. Ceci explique peut-être que dans son rapport du 6 janvier 2025, sur « La sécurité informatique des établissements de santé », la Cour des comptes étrille le faible investissement de l’État dans la protection de leurs systèmes d’information (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation). Un constat partagé par des parlementaires qui pointent un manque d’intérêt des directions, sans risque de sanctions.

Olivier Cadic, sénateur représentant les Français établis hors de France (UC), n’y va pas par quatre chemins : « Une attaque cyber à l’encontre des hôpitaux relève d’un acte criminel s’il provient d’un gang organisé pour collecter de l’argent. Si c’est une attaque d’un État étranger, cela relève du sabotage. Mettre hors d’usage un établissement de soins peut entraîner des conséquences fatales. La question fondamentale est : à quel moment analyse-t-on que c’est un acte de guerre ? À quel moment l’État considère-t-il qu’il doit être en première ligne ? »

Pas de responsables

Dénonçant une asymétrie problématique de responsabilité entre hôpitaux publics et privés, le sénateur déplore qu’il « n’existe aucun cadre clair établi pour déterminer quand et comment la responsabilité de l’État s’applique, particulièrement lorsque le secteur privé ne peut pas se défendre contre des attaques de niveau étatique ».
Le parlementaire se dit choqué du manque de prises de responsabilités de l’État, lors des cyberattaques d’établissements de soins.

Au lendemain de l’attaque informatique de l’hôpital de Corbeil-Essonnes en août 2022, Olivier Cadic avait posé la question au SGDSN : « Vers qui la victime se retourne-t-elle ? Contre celui qui dirige le service informatique de l’hôpital, contre le patron, contre l’agence sanitaire ? Personne ne savait me répondre. »
Pour lui, le rôle de l’État est de protéger le citoyen dans les domaines régaliens, « et là, on y est ! »

Philippe Latombe, député de Vendée (Renaissance), n’est pas plus tendre et trouve inadmissible qu’un patron de centre hospitalier départemental ne soit jamais sanctionné si une fuite de données survient alors que le système informatique n’a pas été sécurisé : « Les directeurs d’hôpitaux et les Agences régionales de Santé (ARS) sont complètement indépendants, c’est un califat dans le califat. C’est hallucinant, j’ai rarement vu ça. Ils ont une autonomie de gestion telle que ça en devient scandaleux. Un directeur d’hôpital fait ce qu’il veut. L’ARS, si elle n’a pas envie, elle ne fait pas. Quant au ministre de la Santé, il n’a pas la main sur l’ARS, il n’a pas la main sur les directeurs d’hôpitaux, ou alors quand vraiment il y a eu des grosses bêtises. »

L’Agence du Numérique en Santé du ministère a pourtant mis en place un plan de protection cyber des hôpitaux 2023- 2027, avec un budget fléché pour la cybersécurité et envoyé à toutes les ARS. Philippe Latombe précise : « Seules trois ARS, comme celle de Bretagne ou celle des Pays de la Loire, ont consommé le budget alloué au niveau national. Les autres n’y ont absolument pas touché. Cela crée des inégalités de protection entre les régions. En réalité, tout dépend de l’intérêt des dirigeants locaux pour le sujet. »

Les deux parlementaires en concluent que privilégier des investissements dans les RH et l’équipement médical (scanners, robots chirurgicaux…) au détriment de la cybersécurité est un non-sens. Cette approche est coûteuse, à long terme et l’État a selon eux bel et bien un rôle à jouer dans ce domaine, régalien ou pas.

À LIRE AUSSI :

Secu

Anticiper et innover pour ne plus subir, le Graal de la cybersécurité

François Jeanne

24 Nov

À LIRE AUSSI :

Secu

Move to cloud et essor de l’IA : la plateformisation de la cyber s’accélère

Alain Clapaud

26 Nov

À LIRE AUSSI :

Secu

La convergence IT/OT bute à la porte du SOC

Laurent Delattre

1 Déc

À LIRE AUSSI :

Cloud

NIS 2, le chantier n°1 des RSSI pour 2026

Alain Clapaud

2 Déc

À LIRE AUSSI :

Secu

Thierry Happe (Netexplo) : « Il faut cultiver la lucidité des collaborateurs, pas leurs peurs »

François Jeanne

5 Déc

À LIRE AUSSI :

Secu

Des outils et des services pour détecter les failles avant les hackers

Charlotte Mauger

8 Déc

À LIRE AUSSI :

Data / IA

IA en cybersécurité : qui mène vraiment le jeu ?

Laurent Delattre

12 Déc

À LIRE AUSSI :

Secu

Certificats TLS plus courts : industrialiser pour survivre

Thierry Derouet

15 Déc

À LIRE AUSSI :

Secu

L’Europe, géant réglementaire aux pieds d’argile

Aude Leroy

22 Déc

À LIRE AUSSI :

Secu

Appuis publics à la cybersécurité des entreprises, une cartographie complexe

Aude Leroy

23 Déc

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !