Le Gouvernement lance un plan pour préparer les hôpitaux aux cyberattaques

"L’objectif est que 100% des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023", indiquent les ministres de l’Intérieur, de la Santé et le ministre délégué chargé de la Transition numérique dans un communiqué diffusé hier. Alors que le CHU de Corbeil-Essonnes et le CH de Versailles ont été victimes de piratage informatique d’envergure ces derniers mois (respectivement les 21 août et 3 décembre), le Gouvernement lance un programme de préparation aux incidents cyber à destination des établissements de santé. Un plan blanc numérique sera également élaboré au premier trimestre 2023 fin de "doter les établissements des réflexes et pratiques à adopter si un incident cyber survient", précisent Gérald Darmanin, François Braun et Jean-Noël Barrot, qui citent notamment l’activation d’une cellule de crise ou encore l’évaluation des impacts. "Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région en lien avec les Agences régionales de santé (ARS)." Les ministres annoncent par ailleurs la création d’une task force en vue de créer un nouveau projet de plan cyber pluriannuel massif d’ici mars 2023. Dans le cadre de la stratégie d’accélération pour la cybersécurité de France 2030, un programme d’investissement d’1 milliard d’euros avait déjà été annoncé afin de soutenir le développement "d’un écosystème privé de fournisseurs de solutions souveraines et innovantes". Après la cyberattaque du CHU de Corbeil Essonnes, cet été, une enveloppe supplémentaire de 20 millions d’euros avait également été débloquée pour renforcer la cybersécurité des hôpitaux. Depuis plusieurs mois, ces attaques informatiques contre des établissements de soins sont en hausses. Elles fragilisent ces structures, déjà en tension, contraintes de fonctionner en mode dégradé et, parfois, de transférer des patients fragiles vers d’autres hôpitaux. "Tous les indicateurs des menaces cyber sont en hausse", indiquent les ministres. Ainsi, un millier d’attaques au rançongiciel ont été constatées en 2021 sur le territoire. La même année, environ 260 000 procédures judiciaires liées au cyber ont été enregistrées (+ 20% par rapport à 2020).

Promettant de faire de la cybersécurité un sujet majeur dans leurs politiques en matière de numérique en santé, les ministres rappellent que "la posture constante de l’Etat" est celle du non-paiement des rançons. Ils soulignent l’importance de porter plainte "systématiquement", "afin que des enquêtes puissent être menées et aboutir". Récemment, un pirate russe ayant participé "à plus de 115 attaques" contre des victimes françaises a été interpellé au Canada.