Après deux cyberattaques d’ampleur qui ont paralysé à l’été le Centre hospitalier Sud Francilien de Corbeil-Essonnes et le CH de Versailles début décembre, le gouvernement a décidé de muscler son plan. Ce mercredi, François Braun et Gérald Darmanin annoncent « de nouveaux engagements pour renforcer la cybersécurité des établissements de santé ».
Pour mieux préparer les hôpitaux « à faire face en cas d’attaque », l’exécutif souhaite mettre en place dès aujourd’hui un « vaste programme de préparations aux incidents cyber ». Ainsi, d’ici à mai 2023, 100 % des établissements « les plus prioritaires » devront avoir réalisé ces nouveaux exercices d’entraînement.
Au premier trimestre 2023, les ministères travailleront également à des « plans blancs numériques ». Activation de la cellule de crise, évaluation des dégâts sur l’hôpital : ce plan blanc devra doter les hôpitaux « des réflexes et pratiques à adopter » en cas de cyberattaque.
Paralysie des hôpitaux
Depuis le début de la pandémie, la menace cyber explose. Entre 2020 et 2021, les déclarations d’incidents de sécurité qui émanent des établissements de santé sont passées de 392 à 733. Tout secteur confondu, « un millier d’attaques au rançongiciel ont été constatées en 2021 sur le territoire », tiennent à alerter les ministères.
À Corbeil-Essonnes, comme à Versailles, ces cyberattaques sont venues désorganiser des services hospitaliers déjà en tension. « Dans les deux cas, le plan blanc pour les urgences sanitaires graves a été déclenché, et certains patients dans les états les plus critiques ont dû être transférés vers d’autres hôpitaux », rappellent François Braun et Gérald Darmanin, qui saluent toutefois « la réactivité et l’engagement exceptionnel des professionnels de ces établissements, qui ont permis d’assurer la continuité des soins pour tous les patients dans les meilleures conditions possibles ».
À Corbeil-Essonnes par exemple, l’établissement a été contraint de fonctionner pendant près de deux mois sans logiciel ni support numérique. L’exécutif avait alors débloqué une enveloppe supplémentaire de 20 millions d’euros « pour financer des actions de renforcement du niveau de cybersécurité des établissements de santé ».
Ne jamais payer
Depuis deux ans, le gouvernement tient à rappeler qu’il œuvre à un plan « ambitieux » de protection des hôpitaux, alliant campagne de sensibilisation et financement pour améliorer la sécurisation du parc informatique. Aussi, dans le cadre de « France 2030 », un milliard d’euros a été promis pour soutenir les fournisseurs privés et « répondre aux besoins de cybersécurité des établissements de santé », font valoir les ministères de la Santé et de l’Intérieur.
Face aux hackeurs, l’État tient enfin à rappeler « sa posture » : ne jamais payer la rançon lors d’une attaque sur un organisme public et porter plainte immédiatement.
Qui est le Dr Paolo Macchiarini, un chirurgien de génie ou un escroc fini ?
Un Européen sur deux est en surpoids ou obèse, la France parmi les pays les moins touchés
Médecins aux JO : Dr Xavier Lambertyn, entre escrime et tir à l’arc
Pr Régis Aubry : « Même si le débat est retardé voire temporairement arrêté, les questions émergentes autour de la fin de vie persistent »