FRANCE: IT security in healthcare establishments: a recent reinforcement that needs to be continued, in the face of increasing cyberattacks

The healthcare sector is facing a steady increase in cyberthreats, which are likely to significantly disrupt operations and the quality of care provided. Accompanied by the Digital Audit Department, the French Cour des Comptes analyzed the vulnerability factors of healthcare establishments' information systems, and put forward recommendations for improving IT security management. The audit team conducted interviews with over twenty healthcare establishments and analyzed the results of a nationwide survey.

European panorama of cyberattack threats to the healthcare sector (January 2021 to March 2023)

Source: European Cyber Security Agency (ENISA) - Cyber threat landscape of the health sector in the EU (2023)

Hospital information systems undermined by a number of factors

Increasing complexity: Hospital information systems include between 80 and 1,000 IT applications: pharmaceutical prescriptions, test results, patient and facility administration, internal transport requests, etc. The growing range of digital services, such as online appointment booking and telemedicine, is adding to the complexity of these systems.

Chronic under-investment: on average, only 1.7% of the operating budget is allocated to digital systems, compared with 9% in the banking sector and 2% in the consumer goods industry.

Equipment obsolescence: over 20% of workstations are over seven years old or use obsolete operating systems, and 23% of network equipment can no longer be updated.

Multiple interconnections: the development of connected objects for patient monitoring, medication management or logistics management increases the potential entry points for cyber-attackers. The law requiring manufacturers to inform users of vulnerabilities is not sufficiently considered by software publishers. The “Cyber Resilience Act” aimed at strengthening the cybersecurity of connected products excludes medical devices, leaving this problem unresolved.

Lack of awareness and training: hospital staff are still not sufficiently aware of cybersecurity issues, despite recent initiatives.

Multiple interconnections: the development of connected objects for patient monitoring, medication management or logistics management increases the potential entry points for cyber-attackers. The law requiring manufacturers to inform users of vulnerabilities is not sufficiently considered by software publishers. The “Cyber Resilience Act” aimed at strengthening the cybersecurity of connected products excludes medical devices, leaving this problem unresolved.

Lack of awareness and training: hospital staff are still not sufficiently aware of cybersecurity issues, despite recent initiatives.

Serious financial and operational consequences

Cyber-attacks generate significant costs for healthcare establishments:

• Up to 10 million euros for crisis management and remediation.
• Up to 20 million euros in lost operating revenues.

These figures do not include the potential consequences of theft and publication of sensitive data, or the impact on continuity of care.

Measures in place, but need to be strengthened

In response to this situation, the public authorities have initiated a number of initiatives:

At European level, the NIS 2 directive aims to strengthen cybersecurity, but is still in the process of being transposed into French law in May 2025.

At French level, the Délégation au numérique en santé (DNS), created in May 2023 and set up as a central administration department to steer the digital health strategy. The launch of the CaRE (Cyberacceleration and Resilience of Establishments) program, endowed with 750 million euros over five years (2023-2027), aimed at strengthening the cybersecurity of healthcare establishments. The Haute Autorité de santé has imposed the integration of cybersecurity criteria into the certification of healthcare establishments. In addition, since 2016, healthcare establishments have been subject to an obligation to report serious information system security incidents.

Recommendations for enhanced cybersecurity

In conclusion, to better prepare hospitals, it is essential to continue building a unified, secure digital environment, reinforce training for healthcare professionals, and pursue financial commitments. The report makes five recommendations concerning the financial issues associated with cyber-attacks, the introduction of mandatory periodic audits and the legal status of hospitals.

Link to the report (in French) : Observations définitives La sécurité informatique des établissements de santé

------------------------------------------------------------------------------------------------

La sécurité informatique des établissements de santé : Un renforcement récent et à poursuivre, face à la multiplication des cyberattaques

Le secteur de la santé est confronté à une augmentation constante des cybermenaces, lesquelles sont susceptibles de perturber de manière significative leurs opérations ainsi que la qualité des soins prodigués. La Cour des comptes, accompagné par le département audit du numérique, a analysé les facteurs de vulnérabilité des systèmes d'information des établissements de santé et proposé des recommandations afin d’améliorer le pilotage de la sécurité informatique. L’équipe de contrôle a réalisé des entretiens avec plus d’une vingtaine d’établissements de santé et a analysé les résultats d’un sondage d’ampleur nationale.

Panorama européen des menaces cyberattaques visant le secteur de la santé (janvier 2021 à mars 2023)

Source : Agence européenne pour la cybersécurité (ENISA) - Cyber threat landscape of the health sector in the EU (2023)

Des systèmes d'information hospitaliers fragilisés par plusieurs facteurs

Une complexité accrue : les systèmes d’information hospitaliers comptent entre 80 et 1000 applications informatiques : prescriptions pharmaceutiques, résultats d’examens, gestion administrative des patients et de l’établissement, demande de transport interne. L’offre croissante de services numériques, tels que la prise de rendez-vous en ligne ou la télémédecine vient complexifier ces systèmes.

Un sous-investissement chronique : en moyenne, seulement 1,7 % du budget d’exploitation est affecté au numérique contre 9 % dans la banque et 2 % dans l’industrie des biens de consommation.

L'obsolescence des équipements : plus de 20 % des postes de travail ont plus de sept ans ou utilisent des systèmes d'exploitation obsolètes, et 23  % des équipements réseau ne peuvent plus être mis à jour.

Des interconnexions multiples : le développement des objets connectés pour la surveillance des patients, la gestion des médicaments ou la gestion logistique augmentent les points d’entrée potentiels pour les cyber-attaquants. La loi imposant aux fabricants d'informer les utilisateurs des vulnérabilités n’est pas suffisamment prise en prise en compte par les éditeurs. Le « Cyber Resilience Act » visant à renforcer la cybersécurité des produits connectés exclue les dispositifs médicaux, laissant ce problème non résolu.

Le manque de sensibilisation et de formation : la prise en compte des enjeux de cybersécurité par le personnel hospitalier reste insuffisante, malgré des initiatives récentes.

Des interconnexions multiples : Le développement des objets connectés pour la surveillance des patients, la gestion des médicaments ou la gestion logistique augmente les points d’entrée potentiels pour les cyber-attaquants. La loi imposant aux fabricants d'informer les utilisateurs des vulnérabilités n’est pas suffisamment prise en prise en compte par les éditeurs. Le « Cyber Resilience Act » visant à renforcer la cybersécurité des produits connectés exclue les dispositifs médicaux, laissant ce problème non résolu.

Le manque de sensibilisation et de formation : la prise en compte des enjeux de cybersécurité par le personnel hospitalier reste insuffisante, malgré des initiatives récentes.

Des conséquences financières et opérationnelles lourdes

Les cyberattaques engendrent des coûts significatifs pour les établissements de santé :

• jusqu'à 10 millions d'euros pour la gestion de la crise et la remédiation ;
• jusqu'à 20 millions d'euros de pertes de recettes d'exploitation.

Ces chiffres n'incluent pas les conséquences potentielles du vol et de la publication de données sensibles, ni les impacts sur la continuité des soins.

Des mesures engagées, mais à renforcer

Face à cette situation, les pouvoirs publics ont initié plusieurs actions :

Au niveau européen, la directive NIS 2 vise à renforcer la cybersécurité, mais est toujours en cours de transposition en droit français en mai 2025.

Au niveau français, la Délégation au numérique en santé (DNS), crée en mai 2023 et érigée en direction d'administration centrale pour piloter la stratégie numérique en santé. Le lancement du programme CaRE (Cyber accélération et résilience des établissements), doté de 750 millions d'euros sur cinq ans (2023-2027), visant à renforcer la cybersécurité des établissements de santé. La Haute Autorité de santé a imposé l'intégration de critères de cybersécurité dans la certification des établissements de santé. De plus, depuis 2016, les établissements de santé sont soumis une obligation de signalement des incidents graves de sécurité des systèmes d’information.

Recommandations pour une cybersécurité renforcée

En conclusion, pour mieux préparer les hôpitaux, il est essentiel de poursuivre la construction d’un environnement numérique unifié et sécurisé, de renforcer la formation des professionnels de santé et de poursuivre les engagements financiers. Le rapport formule cinq recommandations portant sur les problématiques financières liées aux cyberattaques, la mise en place d’audits périodiques obligatoires et le statut juridique des hôpitaux.