Moins de signalements mais davantage d'hôpitaux touchés et surtout des cyberattaques « d'ampleur », qui ont parfois perturbé durablement l'organisation des soins et des services concernés (urgences, radiothérapie, oncologie, etc.). Tel est le bilan 2022 de l’observatoire des incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social. Publié par l’Agence du numérique en santé, cet audit révèle que le nombre total d’établissements ayant déclaré au moins un incident a bondi de 33 %. Point positif, le nombre d’évènements « lors desquels tout ou partie des données des applications de la structure n’était plus accessible » a diminué. En revanche, les attaques majeures sont beaucoup plus visibles et médiatisées.
Dans plusieurs cas, la durée du mode de fonctionnement « dégradé » du système de prise en charge des patients a dû se prolonger pendant des semaines, preuve de la difficulté pour certains hôpitaux ciblés de retrouver une situation normale. Avec des impacts directs pour les malades et les professionnels de santé. « Parmi les 76 mises en danger patient de cette année 2022 (13 % du nombre total d’incidents), cinq incidents ont entraîné une mise en danger patient avérée », précise le rapport.
Offensives malveillantes (50 % des incidents) mais aussi failles critiques de sécurité ou dysfonctionnements des logiciels de prescription ou de dispensation… Comment se prémunir du risque cyber ? L'observatoire salue en premier lieu la « vigilance » des professionnels de santé ayant souvent permis d'éviter des complications encore plus graves. De leur côté, les pouvoirs publics se retroussent les manches. Après plusieurs attaques informatiques (Dax, Villefranche-sur-Saône), Emmanuel Macron avait présenté dès 2021 un plan global pour la cybersécurité, assorti d’une enveloppe de 350 millions d’euros. Objectif, « renforcer la sécurité des systèmes d'information de santé impliqués dans les échanges de données du parcours de soins ».
En 2022, les nouveaux raids des pirates contre les hôpitaux de Corbeil-Essonnes puis de Versailles ont abouti à des mesures complémentaires (et 20 millions débloqués). La nouvelle feuille de route du numérique en santé prévoit qu’au plus tard en 2027 les établissements devront consacrer « au moins 2 % de leur budget au numérique, dont 10 % sur la cybersécurité et les infrastructures ». Si l’accent est mis sur la sécurisation et la communication pour diffuser la culture de cybervigilance chez les blouses blanches – en commençant par les simples mots de passe –, il s’agit également d'anticiper et de préparer la riposte à l'échelle de tous les hôpitaux français. Cela passe obligatoirement par des exercices grandeur nature de simulation de crise, comme le raconte notre dossier (lire page 10). La cybersécurité en santé s’affiche comme l’affaire de tous.
Réactions à l’événement sur le système de santé à Gaza
En partenariat avec France Info
C’est ma santé : faut-il consommer des prébiotiques et des probiotiques ?
C’est vous qui le dites
« Il en faut du courage pour vouloir devenir médecin aujourd’hui ! »
Éditorial
Une place ténue à la COP29