Un risque systémique lié à l’accélération du numérique

L’accélération massive du numérique en santé, portée par les financements du Ségur du numérique, a profondément transformé les parcours de soins. Cette imbrication entre les secteurs public, privé, et les structures spécialisées (comme les CLCC – Centres de Lutte Contre le Cancer) accroît mécaniquement les échanges de données et donc la surface d’exposition aux menaces.

Selon Bertrand Sommier de la FHP, la cybersécurité n’est plus une option technique mais un socle fondamental. Face à une cybermenace croissante et durable, la réponse doit être systémique. Si l’ensemble des acteurs n’élève pas son niveau de protection simultanément, des points d’entrée et de vulnérabilités subsisteront, mettant en péril la continuité des soins sur tout le territoire.

Vers un changement de modèle de financement de la sécurité

Si le cadre normatif progresse, notamment avec la directive européenne NIS2 (Network and Information Security 2), Bertrand Sommier pointe deux freins majeurs : la pénurie de professionnels qualifiés et le modèle de financement actuel.

Le Secrétaire général de la FHP explique qu’il faut désormais des budgets pérennes et structurels, et donc un changement de paradigme : passer de financements « one-shot » (amorçages) à une ligne budgétaire d’État dédiée. 

En cas de crise majeure ou de « blackout », la résilience repose sur une organisation territoriale agile. La FHP appelle à avoir une démarche anticipative de ces crises, une gestion des risques commune entre les établissements. Cela permettrait de renforcer les circuits courts de coordination pour assurer le transfert des patients et la reprise d’activité, et de garantir que la cybermenace n’interrompt jamais la mission de soins.

Un hiatus budgétaire structurel

L’étude demandée par l’Agence du Numérique en Santé révèle un paradoxe critique : si la cybersécurité est désormais perçue comme un enjeu vital par les directions, les moyens financiers ne suivent pas. Actuellement, le secteur de la santé consacre moins de 3 % de son budget à la sécurité informatique. Ce gap budgétaire freine le déploiement de mesures de protection proportionnées aux menaces actuelles.

Face aux contraintes financières, l’expert préconise de s’appuyer sur l’écosystème existant. La mutualisation des ressources et l’assistance entre acteurs du territoire permettent de pallier l’isolement des petites structures.

Sortir du prisme technique : le rôle du CODIR

Pour Pierre Chavonnet, la cybersécurité ne doit plus être l’unique prérogative de la DSI (Direction des Systèmes d’Information). Elle doit devenir une priorité absolue du CODIR (Comité de Direction). Il explique que si le sujet est adressé uniquement à la DSI, le message envoyé sera perçu comme technique : or, c’est un sujet de santé publique qui garantit la continuité des soins. Le pilotage doit donc être transverse et s’inscrire dans une stratégie pluriannuelle portée par la gouvernance de l’établissement, et impliquer chaque professionnel de l’établissement.

Avec le développement de l’Intelligence Artificielle (IA), la cybermenace devient plus pressante. Pierre Chavonnet et l’Agence du Numérique en Santé nous avertissent : l’inertie équivaut à un recul. Les établissements doivent impérativement « se mettre en marche » pour transformer leurs systèmes d’information en remparts efficaces.