La Cour des comptes s'inquiète pour la cybersécurité des hôpitaux français

Le diagnostic de la Cour des comptes est inquiétant. L'institution s'alarme dans un rapport publié vendredi 3 janvier du financement du programme de renforcement de la cybersécurité dans les hôpitaux, lancé en 2023 par le gouvernement Borne après une vague de cyberattaques destructrices. Le programme baptisé Care (Cyberaccélération et résilience des établissements) "prévoit un financement de 750 millions d'euros en faveur de la sécurité des systèmes d'information sur cinq ans (de 2023 à 2027)", rappelle la cour dans son rapport.

"Toutefois, cet engagement financier n'est assuré que jusqu'à la fin de l'année 2024", s'inquiète-t-elle. "Il est indispensable qu'il soit poursuivi jusqu'au terme du programme." Pour l'instant, le financement du programme Care a été couvert "à hauteur de 223 millions d'euros", écrit-elle, soit moins du tiers de l'enveloppe globale annoncée.

Une trentaine d'hôpitaux visés en deux ans

Selon les chiffres de l'Anssi, l'agence en charge de la sécurité informatique française, trente hôpitaux français ont fait l'objet d'une cyberattaque par rançongiciel (chiffrage des données les rendant inutilisables) en 2022 et 2023. Le rythme de ces cyberattaques semble s'être un peu ralenti ensuite, mais en 2024, deux hôpitaux ont encore été victimes de cyberattaques significatives : l'hôpital d'Armentières (Nord) en février et l'hôpital de Cannes en avril.

Fin novembre, des pirates ont par ailleurs mis en vente des données de patients volées à la clinique parisienne Alleray-Labrouste et quatre autres établissements franciliens rattachés au groupe Aleo Santé, affirmant détenir des données de plus de 750 000 personnes. Selon le rapport de la Cour des comptes, les systèmes informatiques des hôpitaux sont particulièrement vulnérables aux cyberattaques, du fait de leur complexité naturelle, mais aussi d'un sous-investissement chronique.