Cyberattaques contre les hôpitaux : un plan de sécurité numérique renforcée pour 2023

Ces derniers mois, deux attaques cyber d'envergure ont visé le CHU de Corbeil-Essonnes (91) et le Centre hospitalier de Versailles (78). Dans les deux cas, le plan blanc pour les urgences sanitaires graves a été déclenché, et certains patients ont dû être transférés vers d'autres hôpitaux. Pour prévenir ces situations, le gouvernement se mobilise. Gérald Darmanin, ministre de l'Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications ont organisé le 21 décembre une réunion de travail sur la cybersécurité des hôpitaux, avec l'ensemble des services concernés et les principales fédérations hospitalières.

20 millions d'euros supplémentaires pour la cybersécurité des établissements

Selon les trois ministères, tous les indicateurs des menaces cyber sont en hausse : en 2021, environ 260 000 procédures judiciaires ont été enregistrées par les forces de sécurité intérieure (+ 20% par rapport à 2020) ; un millier d'attaques au rançongiciel ont été constatées sur le territoire et la plateforme Thésée pour les plaintes en ligne, lancée en mars, atteint déjà 75 000 signalements.

Pour faire face à cette menace, un plan de renforcement cyber a été développé depuis deux ans prévoyant des audits des établissements conduits par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), une campagne de sensibilisation « Tous cyber vigilants », le déblocage de nouveaux financements pour améliorer la sécurisation des logiciels et autres outils techniques, etc. A la suite de la cyberattaque ayant visé le CHU de Corbeil-Essonnes cet été, une enveloppe supplémentaire de 20 millions d'euros a en outre été débloquée pour financer des actions de renforcement du niveau de cybersécurité des établissements de santé. La loi d'orientation et de programmation du ministère de l'Intérieur et des Outre-mer du 14 décembre 2022 a par ailleurs acté le recrutement de 1 500 cyber patrouilleurs.

Agir sur tous les fronts

Dans le cadre de la stratégie d'accélération pour la cybersécurité de France 2030, le gouvernement a également décidé de mobiliser un programme d'investissement d'un milliard d'euros. Cette stratégie vise à soutenir le développement d'un écosystème privé de fournisseurs de solutions souveraines et innovantes.

Afin de renforcer encore davantage la préparation des établissements et leur permettre de faire face en cas d'attaques, les ministres concernés ont également annoncé le lancement d'un vaste programme de préparation aux incidents cyber. L'objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d'ici mai 2023. Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d'une cellule de crise, évaluation des impacts, notamment). Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région en lien avec les Agences régionales de santé (ARS).

Les ministres ont aussi réaffirmé que la nouvelle feuille de route 2023-2027 du numérique en santé accordera une place centrale à la cybersécurité des établissements. A cet effet, une task force associant l'ensemble des autorités compétentes a été créée pour bâtir d'ici mars 2023 un nouveau projet de plan cyber pluriannuel massif.

Les ministres ont enfin rappelé la posture constante de l'État de non-paiement des rançons lors d'attaque sur les organismes publics et l'importance de porter plainte systématiquement afin que des enquêtes puissent être menées et aboutir. Récemment, un hacker russe au Canada qui avait participé à plus de 115 attaques contre des victimes françaises a été interpellé au Canada.