Gérald Darmanin, ministre de l'Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications ont organisé le 21 décembre une réunion de travail sur la cybersécurité des hôpitaux, avec les services concernés et les principales fédérations hospitalières.
Chacun garde en mémoire les deux attaques cyber d'envergure qui ont visé des hôpitaux français : le CHU de Corbeil-Essonnes (91) le 21 août et le Centre hospitalier de Versailles (78) le 3 décembre. Ces attaques ont eu des impacts opérationnels importants sur des services hospitaliers déjà en tension. Dans les deux cas, le plan blanc pour les urgences sanitaires graves a été déclenché, et certains patients dans les états les plus critiques ont dû être transférés vers d'autres hôpitaux. Et malheureusement, tous les indicateurs des menaces cyber sont en hausse : en 2021, environ 260 000 procédures judiciaires liées au cyber ont été enregistrées par les forces de sécurité intérieure (+ 20% par rapport à 2020) ; un millier d'attaques au rançongiciel ont été constatées et la plateforme Thésée pour la plainte en ligne, lancée en mars, atteint déjà 75 000 signalements.
« Tous cyber vigilants »
Afin de répondre à ces enjeux, la loi d'orientation et de programmation du ministère de l'Intérieur et des Outre-mer a renforcé les moyens, avec par exemple le recrutement de 1 500 cyber patrouilleurs. Dans le cadre de la stratégie d'accélération pour la cybersécurité de France 2030, le Gouvernement a également décidé d'un programme d'investissement d'un milliard d'euros. Une stratégie qui vise à soutenir le développement d'un écosystème privé de fournisseurs de solutions souveraines et innovantes. Depuis près de deux ans, un plan de renforcement cyber a aussi été mené : audits des établissements conduits par l'Agence nationale de la sécurité des systèmes d'information, campagne de sensibilisation « Tous cyber vigilants », déblocage de financements pour améliorer la sécurisation des logiciels et autres outils techniques, etc. A la suite de la cyberattaque ayant visé le CHU de Corbeil-Essonnes, une enveloppe supplémentaire de 20 millions d'euros a d'ailleurs été débloquée pour financer des actions de renforcement du niveau de cybersécurité des établissements de santé.
"Tous cyber vigilants"
Afin de renforcer encore davantage la préparation des établissements et leur permettre de faire face en cas d'attaques, les ministres Gérald Darmanin, François Braun et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications ont annoncé le 21 décembre le lancement d'un programme de préparation aux incidents cyber. L'objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d'ici mai 2023. Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient : activation d'une cellule de crise et évaluation des impacts, notamment. Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région en lien avec les Agences régionales de santé (ARS).
Ne pas payer !
Les ministres ont également affirmé que la nouvelle feuille de route 2023-2027 du numérique en santé accordera une place centrale à la cybersécurité des établissements : une task force associant l'ensemble des autorités compétentes a ainsi été créée pour bâtir d'ici mars 2023 un nouveau projet de plan cyber pluriannuel massif.
Les ministres ont enfin rappelé la posture constante de l'État de non-paiement des rançons lors d'attaque sur les organismes publics et l'importance de porter plainte systématiquement afin que des enquêtes puissent être menées et aboutir. Récemment, un hacker russe au Canada qui avait participé à plus de 115 attaques contre des victimes françaises a été interpellé au Canada.