Le nombre d’attaques cyber sur les établissements de santé a connu en 2022 une augmentation qui a culminé par la très médiatisée attaque sur le centre hospitalier de Corbeil-Essonnes. En fait, en l’espace de deux semaines seulement, deux attaques d’envergure ont visé des hôpitaux français : le CHU de Corbeil-Essonnes le 21 août et le CH de Versailles le 3 décembre. Ces attaques ont eu des impacts opérationnels importants sur ces services hospitaliers déjà en tension. Dans les deux cas, le plan blanc pour les urgences sanitaires graves a été déclenché, et certains patients dans les états les plus critiques ont dû être transférés vers d’autres hôpitaux.

Les pratiques héritées en matière de cybersécurité, le stockage de données sensibles et la vulnérabilité face aux coupures font du secteur de la santé une cible réputée « facile » pour les cybercriminels. Une situation qui a été exacerbée par la pandémie. Pour aider ces établissements à faire face à cette situation, trois ministères se sont réunis avec l’ensemble des services mobilisés et les principales fédérations hospitalières, afin de « renforcer encore davantage la préparation des établissements et leur permettre de faire face en cas d’attaques ».  

Un plan blanc du numérique

Ainsi, Gérald Darmanin, ministre de l’Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications ont annoncé le lancement d’un vaste programme de préparation aux incidents cyber. L’objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023. Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, entre autres). Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région en lien avec les Agences régionales de santé (ARS).

Les ministres ont réaffirmé que la nouvelle feuille de route 2023-2027 du numérique en santé accordera une place centrale à la cybersécurité des établissements. À cet effet, un groupe de travail associant l’ensemble des autorités compétentes a été créé pour bâtir d’ici mars 2023 un nouveau projet de plan cyber pluriannuel massif. Les ministres ont également rappelé la doctrine de l’État : le non-paiement des rançons lors d’attaque sur les organismes publics. Les ministres ont aussi rappelé l’importance de porter plainte systématiquement afin que des enquêtes puissent être menées et aboutir. Récemment, un hacker russe qui avait participé à plus de 115 attaques contre des victimes françaises a été interpellé au Canada.

ARTICLES SIMILAIRESPLUS DE L'AUTEUR