Dans son rapport, la Cour des comptes cible notamment la vulnérabilité des systèmes d’information des hôpitaux et leur interconnexion accrue avec des systèmes d’information extérieurs, qui les placent au troisième rang des secteurs les plus touchés. Il faut dire que les systèmes d’information hospitaliers (SIH) sont des plus complexes en termes de nombre d’applications (jusqu’à 1 000 applications pour les CHU les plus importants) alors qu’ils font l’objet, globalement, d’un sous-investissement.
Des proies encore trop faciles pour les hackers
La Haute Autorité de santé (HAS) a complété son référentiel de certification en renforçant les critères de cybersécurité et en recrutant des experts visiteurs numériques à partir de 2024. De leur côté, les GHT (Groupements hospitaliers de territoire) ont créé la convergence des SIH afin de renforcer la coopération entre établissements publics dans ce domaine. Mais le constat est sans appel : les établissements de Santé sont des proies encore faciles pour les hackers.
La Cour des comptes émet ici des recommandations pour une meilleure prise en compte par les professionnels de santé du cyber-risque, par la formation continue mais aussi et surtout par la formation initiale dans laquelle le numérique est jusqu’à présent absent, et demande la mise en place d’un audit obligatoire qui pourrait entrer dans le référentiel de certification de la HAS.