Le gouvernement a une stratégie pour protéger les hôpitaux des cyberattaques : ce qu'il faut savoir

Les hôpitaux français sont nombreux à être frappés par de sévères attaques informatiques qui paralysent à chaque fois au moins une partie de leurs activités. Pour mieux anticiper les cyberattaques, le gouvernement vient de mettre sur pied un nouveau programme.

Il y a quelques semaines, Clubic se demandait s'il était possible de mieux protéger nos hôpitaux contre les cyberattaques. Les experts du secteur cyber que nous avions pu interroger étaient tous unanimes ou presque pour dire que les leviers sont nombreux, certes, mais que les hôpitaux font aujourd'hui face à un cruel manque de moyens qui ralentit ce fameux processus de sécurisation. En réponse aux attaques d'envergure subies par le CHU de Corbeil-Essonnes le 21 août dernier et le CH de Versailles au début du mois, plusieurs membres du gouvernement se sont rassemblés autour des services mobilisés et des principales fédérations hospitalières, pour prendre de nouveaux engagements.

Un plan blanc numérique, pour doter les hôpitaux des meilleurs réflexes et outils cyber

Les ministres Darmanin (Intérieur), Braun (Santé) et Barrot (Numérique) ont annoncé, mercredi, le lancement d'un programme de préparation aux incidents cyber, dont l'objectif, très ambitieux, est de pousser la totalité des établissements de santé classés « prioritaires » à réaliser de nouveaux exercices (ou simulations), et ce, d'ici le mois de mai 2023.

En parallèle, un plan blanc numérique devrait être élaboré au premier semestre, pour donner aux établissements les outils, réflexes et pratiques nécessaires à adopter, dans le cas où surviendrait une cyberattaque. Derrière ce plan blanc, on retrouve l'idée de constituer une cellule de crise et de mener une évaluation des impacts sur les services notamment.

Pour donner plus de chances à l'opération, le nouveau plan devrait permettre de mutualiser les ressources compétentes de chaque région, en lien avec les Agences régionales de santé (ARS). Les ministres promettent d'octroyer une place déterminante à la cybersécurité des hôpitaux et autres établissements de soins, dans le cadre de la nouvelle feuille de route 2023-2027 du numérique en santé.

Une task force rassemblant les autorités compétentes vient d'être créée pour établir, d'ici mars 2023, un nouveau projet de plan cyber pluriannuel massif.

L'État invite à ne pas payer les rançons réclamées par les hackers

Les ministres en ont profité pour rappeler la posture de l'État sur la gestion des ransomwares. Pour le gouvernement, la pratique qui doit s'imposer aux organismes publics victimes d'une attaque est celle du non-paiement de la rançon réclamée par les hackers. Même chose pour le dépôt de plainte, qui doit être systématique, puisque la procédure permet aux enquêtes d'être menées, puis d'aboutir. Un hacker russe, qui avait notamment participé à plus d'une centaine d'attaques contre des victimes basées en France, a grâce à cela été interpellé tout récemment au Canada.

En 2021, plus de 260 000 procédures judiciaires liées au cyber ont été enregistrées en France par les forces de sécurité intérieure, soit 20 % de plus que l'année précédente. La plateforme Thésée, qui permet de déposer plainte en ligne pour les escroqueries du Web, a déjà atteint la barre des 75 000 signalements, alors qu'elle n'est active que depuis le mois de mars.

Le gouvernement est en train de prendre la mesure de la cybersécurité et du chantier considérable qu'elle représente. L'État a déjà posé plus d'un milliard d'euros sur la table pour accélérer les choses, et des autorités comme l'ANSSI contribuent à l'accompagnement et à la sensibilisation des établissements. Les efforts devraient se poursuivre dans les prochains mois.