En 2023, cuatro años después del gran ataque que tuvo como objetivo el hospital universitario de Rouen y un año antes del que acaba de debilitar el hospital de Cannes, el 10% de las víctimas de ciberataques en Francia eran establecimientos sanitarios.
Principales amenazas: “El sistema de información se compromete”según el trabajo que el Tribunal de Cuentas publica a principios del curso escolar 2025 sobre la seguridad informática de los establecimientos sanitarios. En otras palabras: “violaciones de bases de datos y PIN, mensajes de correo electrónico maliciosos”y “ransomware, siendo este último el más destructivo”.
En noviembre de 2024, la ANSSI constató que las defensas de los establecimientos sanitarios siguen siendo muy dispares, mientras que los riesgos para los pacientes son muy reales. Como ejemplo, el Tribunal de Cuentas cita el caso de un centro hospitalario en “800 camas y plazas, y con capacidad para 35.500 estancias completas de hospitalización en el ámbito de “medicina, cirugía y obstetricia” (MCO)”.
Esta última tardó 18 meses en recuperar su sistema de información y, si bien su actividad había caído un 20% tras el ataque, no había vuelto a funcionar. “aún no ha vuelto a su nivel de noviembre de 2022 a finales de febrero de 2024” (El hospital André Mignot de Versalles, que corresponde a esta descripción, fue atacado el 4 de diciembre de 2022).
Lamentando el « retrasado » A la vista de la reacción de las autoridades públicas, el Tribunal de Cuentas insiste en que se mantenga la dinámica de financiación de la prevención y la protección contra los riesgos digitales.
También recomienda el establecimiento de un “Grupo nacional de expertos encargado, en caso de ciberataques de escala excepcional, de evaluar las pérdidas de ingresos que deben compensarse” y la creación de un “auditoría periódica obligatoria para todos los establecimientos de salud, que podría tenerse en cuenta en el sistema de incentivos a la calidad y en la certificación por parte de la HAS”.
El tercer sector es el que corre mayor riesgo
En el panorama francés, el Tribunal de Cuentas constata que la “vulnerabilidad de los sistemas de información hospitalarios y su mayor interconexión con sistemas externos (…)” sitúa a este tipo de entidades en el tercer lugar entre las zonas más afectadas por ataques digitales.
Más adelante: autoridades locales. Las empresas, desde las más pequeñas hasta las de tamaño intermedio, se encuentran entre los actores con mayor riesgo.
En materia de interconexiones, el Tribunal de Cuentas señala que la complejidad de los sistemas de información hospitalarios, “ sin equivalente ”, va aumentando – “ hasta 1.000 solicitudes para los hospitales universitarios más grandes » – mientras que lo digital sigue siendo una partida de gasto muy limitada. En promedio, sólo se le asigna el 1,7% del presupuesto operativo, frente al 9% en el sector bancario.
Resultado: más del 20% de las estaciones de trabajo y servidores tienen “más de siete años o un sistema operativo fuera de mantenimiento u obsoleto” y el 23% de los equipos de red y el 22% de las aplicaciones empresariales ya no se pueden actualizar.
Ciberseguridad, el pariente pobre de (el pariente pobre que es) el hospital digital
En el propio ámbito digital hospitalario, las cuestiones de ciberseguridad no se tienen muy en cuenta. Sin embargo, las consecuencias son concretas: los ciberataques pueden provocar interrupciones en los servicios, ya sea en el aspecto administrativo (gestión de pacientes, gestión económica y financiera) o en la atención a los pacientes (con mayor frecuencia en situaciones de emergencia), y el robo de datos puede tener efectos a largo plazo.
De término medio, “El coste para un hospital puede alcanzar los 10 millones de euros por gestión y remediación de crisis y 20 millones de euros por pérdida de ingresos operativos”cifras del Tribunal de Cuentas, sin tener en cuenta las posibles consecuencias financieras del robo y la publicación de datos médicos y no médicos de pacientes y profesionales.
El informe también destaca las repercusiones en cascada cuando el funcionamiento normal de un establecimiento hospitalario se ve obligado a interrumpirse. La reprogramación de la atención puede resultar en traslados de pacientes a otros hospitales. ellos también crean “riesgos a corto y mediano plazo sobre la continuidad y calidad de la atención (secuelas, pérdida de oportunidades, etc.)”.
Sin embargo, “A pesar de la obligación a la que están sujetos los establecimientos sanitarios en este ámbito, no todos los incidentes de ciberseguridad que les afectan son declarados, lamenta el Tribunal de Cuentas, por falta de competencia interna suficiente en materia de ciberseguridad, pero también, sin duda, por miedo a consecuencias mediáticas y reputacionales. »
La delegación de salud digital pilota el CaRE
Para hacer frente a esta situación, el Ministerio de Salud ha encargado a la delegación de salud digital (DNS) la gobernanza de la salud digital a escala nacional. El componente de ciberseguridad de su hoja de ruta 2023-2027 incluye un componente de financiación de cinco años para ponerse al día, el programa “Ciberaceleración y resiliencia de los establecimientos” (CaRE).
Implementado por la Agencia de Salud Digital (ANS), dentro de la cual se encuentra alojado el Cert Santé, este “programa de puesta al día” pretende desembolsar 750 millones de euros en cinco años para mejorar la seguridad de los sistemas de información de los establecimientos sanitarios, que hasta ahora sólo sufrían pérdidas operativas y costes de reparación de los sistemas, con la excepción de las ayudas financieras asignadas de forma no uniforme por las regiones. agencias de salud.
Si bien el Tribunal de Cuentas acoge con satisfacción el esfuerzo, subraya que el compromiso financiero solo estuvo garantizado hasta finales de 2024 y declara «indispensable» su persecución. También advierte de la necesidad de seguir financiando la ciberprotección después de 2027 e insta a coordinar los distintos procedimientos de auditoría existentes (de la ANS, a través de ANSE).
En su informe, el Tribunal de Cuentas señala otros retrasos que contribuyen a la situación actual, incluida la falta de cooperación efectiva entre los 136 grupos hospitalarios territoriales (GHT) creados en 2016, o la ausencia total de elementos relacionados con la tecnología digital y La ciberseguridad en la formación inicial de los profesionales sanitarios.
La institución también subraya que los efectos de la segunda directiva europea sobre ciberseguridad (NIS 2), que entró en vigor el 17 de octubre de 2024, pero que actualmente se está transponiendo tardíamente al derecho francés, no estaban en absoluto previstos. El texto europeo, sin embargo, amplía claramente el ámbito de los establecimientos afectados por las obligaciones de ciberseguridad, para incluir a todas las “entidades esenciales” (con más de 250 empleados y 50 millones de euros de facturación) e “importantes” (con más de 50 empleados y 10 millones euros de facturación).
El Tribunal de Cuentas estima que entre 750 y 800 establecimientos sanitarios estarán sujetos a las obligaciones relativas a entidades esenciales, y cerca de 1.300 a las relativas a entidades importantes.
