Après l'Anssi, qui s'est récemment intéressé à l'état de la cybermenace sur le secteur de la santé, la Cour des Comptes a livré ses observations sur la sécurité informatique des établissements de santé. Après avoir rappelé la forte exposition des hôpitaux aux cyberattaques - qui à eux seuls ont constitué 10 % des victimes d'attaques par ransomware -, l'institution tire la sonnette d'alarme : "La fragilité des systèmes d’information hospitaliers tient à leur complexité croissante, mesurée en nombre d’applications, sans équivalent dans d’autres secteurs d’activité (jusqu’à 1 000 applications pour les CHU les plus importants) et au sous-investissement chronique dans le numérique (1,7 % du budget d’exploitation en moyenne contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation)", indique la Cour des comptes.
Ce faible niveau d'investissement n'est pas sans conséquence sur la bonne santé des équipements informatiques, frappés par des niveaux élevés d'obsolescence. Selon l'enquête de la Cour des comptes, 19 % des postes de travail ont plus de 7 ans ou un système d'exploitation plus maintenu contre 11 % dans les établissements privés à but non lucratif et 8 % pour ceux à but lucratif. Cette différence est encore plus marquée s'agissant des équipements réseaux dont 23 % ne peuvent plus être mis à jour ou réparés en cas de panne soit deux fois que dans le privé (11 %). Par ailleurs 22 % du parc applicatif métier est obsolète dans les établissements de santé public contre seulement 5 % dans le privé à but lucratif mais 18 % pour ceux à but non lucratif.
Dépenses en informatique rapportées au budget total des établissements de santé publics et privés à but non lucratif (2022). Crédit : Observatoire des systèmes d'information de santé
Doter les GHT de la personnalité morale souhaitée par la Cour des comptes
La situation pourrait-elle s'améliorer ? Selon la feuille de route du numérique en santé 2023-2027, à cette échéance les établissements de santé devraient pouvoir consacrer en moyenne au moins 2 % de leur budget au numérique dont 10 % sur la cybersécurité et les infrastructures. "Le programme Cyberaccélération et résilience des établissements (Care) prévoit un financement de 750 M€ en faveur de la sécurité des systèmes d’information sur cinq ans (de 2023 à 2027). Toutefois, cet engagement financier n’est assuré que jusqu’à la fin de l’année 2024. Il est indispensable qu’il soit poursuivi jusqu’au terme du programme", note la Cour des comptes.
Avec pour objectif commun d'améliorer à la fois l'efficacité et la qualité des soins tout en rationalisant la consommation des ressources, la création des groupements hospitaliers de territoire (GHT) en 2016 est loin d'avoir porté tous ses fruits. "la convergence qui était attendue des 136 GHT, notamment, en matière de systèmes d’information, demeure très inégale par manque d’impulsion locale et nationale", peut-on lire dans le rapport. "La construction d’un environnement numérique unifié et sécurisé, favorable à la coopération entre établissements publics, à l’amélioration de la qualité des soins et à l’optimisation des ressources financières et humaines doit donc être poursuivie et accélérée au vu des menaces auxquelles les hôpitaux sont confrontés. Doter les groupements hospitaliers de territoire de la personnalité morale serait un facteur déterminant pour atteindre cet objectif." Parmi les autres recommandations émises : exécuter le programme Care, évaluer les pertes de recettes à compenser et aller jusqu'à accorder dans certains cas graves une dispense de codification a posteriori de leur activité hospitalière, mettre en place un audit périodique obligatoire pouvant entrer dans le dispositif d'incitation à la qualité et dans la certification par la haute autorité de santé, mettre fin à l'utilisation d'un fonds de concours pour le financement de la délégation au numérique en santé.
Commentaire