Mauvaise nouvelle pour les établissements de santé. Comme le signale un récent rapport de la Cour des comptes, le projet phare de sécurisation de leur informatique est menacé d’asphyxie budgétaire. L’engagement financier du programme CaRE, pour “Cyberaccélération et résilience des établissements”, n’est en effet assuré que “jusqu’à la fin de l’année 2024”, déplorent les magistrats financiers.
Ce programme avait été imaginé après le naufrage informatique du centre hospitalier du Sud-Francilien de Corbeil-Essonnes. Ce dernier avait été victime en août 2022 du gang LockBit. Ambitieux, CaRe devait être doté de 750 millions d’euros sur cinq ans, jusqu’en 2027. Une façon de compenser le sous-investissement “chronique dans le numérique” des établissements de santé.
En moyenne, 1,7 % du budget d’exploitation de ces structures est consacré au numérique. Contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation. Résultat: dans certains cas, plus de 20% des équipements, postes de travail et serveurs, sont frappés d’obsolescence. Avec des conséquences graves en matière de sécurité informatique, comme l’absence de mises à jour.
Crédits exceptionnels
Pour les magistrats financiers, la fragilité des systèmes d’information hospitaliers des structures de santé tient aussi à “leur complexité croissante”. Les centres hospitaliers universitaires les plus importants peuvent ainsi compter jusqu’à un millier d’applications différentes.
Mais cette allocation de crédits de 750 millions d’euros venant de CaRe est en trompe-l’œil. En 2023 et 2024, les actions du programme ont ainsi été d’abord financées par des “crédits exceptionnels, issus du Ségur du numérique”. Un autre chantier lancé par l’administration en 2021 en faveur du secteur de la santé.
Ces fonds étaient initialement prévus pour d’autres finalités. Mais ils ont été “réorientés vers la cybersécurité des établissements de santé”, signale la Cour des comptes. Soit 10 millions d’euros venus du Ségur en 2023, sur un total de 14 millions alloué à CaRe. Et 142 millions en 2024, sur un total de 175 millions d’euros.
“À ce jour, seuls 45 millions d’euros sont prévus en 2025 [pour le programme CaRe] pour l’extension à l’ensemble des établissements l’appel à projet Hospiconnect”, s’alarment les magistrats financiers. Ce chantier vise à sécuriser et simplifier l’identification électronique des professionnels. Au total, CaRe prévoyait de consacrer 380 millions d’euros d’ici 2025 à la sécurisation de l’informatique des hôpitaux. Mais seuls 233 millions d’euros sont effectivement fléchés.
Sanctuariser les crédits
Pourtant, “pour construire une réponse préventive durable à la cybercriminalité et à la cybermalveillance, il est nécessaire de sécuriser la poursuite du programme CaRE à l’horizon 2027”, plaide la Cour des comptes. Et de suggérer de “sanctuariser dès 2025 et jusqu’en 2027, une ligne de financement”. Par exemple en la glissant dans le sous-objectif fonds d’intervention régional et soutien à l’investissement de l’Ondam (Objectif national de dépenses d’assurance maladie).
Plus facile à dire qu’à faire. Cette ligne de financement devra être introduite dans le futur projet de loi de financement de la sécurité sociale pour 2025. Un texte rejeté par les députés en décembre dernier après l’adoption de la motion de censure du gouvernement. A charge désormais au nouveau premier ministre François Bayrou de relancer ce dossier budgétaire crucial.
La facture peut être pourtant extrêmement lourde pour les hôpitaux victimes d’une cyberattaque. Jusqu’à 10 millions d’euros pour la gestion de la crise et la remédiation et 20 millions d’euros en perte de recettes d’exploitation. Et encore, “ces coûts n’intègrent pas les potentielles conséquences financières du vol et de la publication de masses de données”, avertit la Cour des comptes.