Image légendée
L'entrée de l'hôpital André-Mignot de Versailles, le 6 décembre 2022 au Chesnay-Rocquencourt © AFP/Archives Emmanuel DUNAND

Tour de vis dans le dispositif de cybersécurité des hôpitaux publics. Après deux cyberattaques d’envergures ayant paralysé l’activité de deux importants centres hospitaliers universitaires (CHU) d’Île-de-France, le gouvernement a annoncé ce mercredi 21 décembre la mise en place d’une « task force ». Son objectif  : « bâtir d’ici mars 2023 un nouveau projet de plan cyber pluriannuel massif ».

Ces actes de malveillance sont majoritairement des cyberrançons, c’est-à-dire que les cybercriminels demandent une somme d’argent pour cesser d’entraver le fonctionnement des hôpitaux. Or bloquer le système informatique dégrade la qualité des soins donnés par les équipes de santé et donc menace la sécurité des patients. Le Centre hospitalier Sud francilien (CHSF) de Corbeil-Essonnes et de Centre hospitalier de Versailles ont été victime de cyberattaque cette année respectivement en août et en décembre dernier. Lors de ces actes de malveillance, les malades ont été transférés dans d’autres établissements, et des informations sensibles ont été divulguées.

Des cas loin d’être isolés. En 2021, il y aurait en moyenne « près d’une attaque par semaine sur nos établissements de santé, a affirmé Jean-Noël Barrot, ministre délégué à la transition numérique lors d’un déplacement au CHU de Corbeil-Essonnes. Ce chiffre a baissé au premier semestre [2022] de 50 %. »

Préparer les hôpitaux

Mieux protéger les hôpitaux devient une priorité. « L’objectif est que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023 », expliquent dans une déclaration commune les ministres de l’Intérieur, de la Santé et celui délégué au Numérique.

L’ambition n’est rien de moins qu’une refonte du dispositif. « Un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient », comme l’activation d’une cellule de crise ou l’évaluation des dégâts causés par les hackers, ajoute le communiqué. Ce plan doit permettre de « mutualiser les ressources compétentes au niveau de chaque région en lien avec les Agences régionales de santé (ARS). »

En 2021, un millier d’attaques au rançongiciel ont été constatées en France, selon le ministère de l’Intérieur et environ 260 000 procédures judiciaires liées au cyber ont été ouvertes (+20 % par rapport à 2020).