La récente attaque contre l’hôpital de Dax n’était que la dernière d’une longue série, qui n’est pas près de s’arrêter. Cette semaine c’était au tour du groupe hospitalier de Villefranche-sur-Saône d’être paralysé par une cyberattaque rançongiciel. Déjà fin 2019, l’attaque du CHU de Rouen, paralysé pendant plus d’une semaine, était devenue un des symboles de cette tendance de fond.
Dépassé, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a pris la parole au micro de France Info, pour demander une aide renforcée aux pouvoirs publics : « Les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils doivent nécessiter de protections supplémentaires et d’un accompagnement supplémentaire. »
Cet appel, renforcé par une attention médiatique renouvelée sur le sujet, semble avoir été entendu. Lors de la session de question au gouvernement du 17 février, le secrétaire d’État chargé de la Transition numérique Cédric O a pris la parole face aux députés. D’après lui, les autorités recensent une attaque par semaine contre les hôpitaux depuis le début de l’année de 2021. L’an dernier, l’Anssi — l’agence en charge des incidents informatiques critiques — a dû intervenir sur part moins de 27 attaques majeures au sein des établissements de santé. Face à ces chiffres inquiétants, le secrétaire d’État explique que plus de 110 hôpitaux ont été accompagnés par des audits de sécurité, et que 11 d’entre eux sont encore « accompagnés au jour le jour ».
À juste titre, le ministre a rappelé que cette situation n’est pas propre au secteur hospitalier : « C’est l’ensemble de notre économie, l’ensemble de notre société qui est sous la menace. ». Les gangs derrière les rançongiciels se sont développés à un rythme effrayant ces trois dernières années. Ils deviennent plus techniques, mieux organisés et se permettent des méthodes d’extorsion toujours plus pernicieuses. Ils peuvent désormais faire plier de gigantesques organisations avec leurs demandes de rançon pouvant dépasser la dizaine de millions d’euros.
Cédric O préparait le terrain pour la prise de parole d’Emmanuel Macron, destiné à « faire franchir un cap » et « augmenter la vigilance » face aux attaques. Ce jeudi 18 février, les deux hommes se sont entretenus avec les équipes des hôpitaux de Dax et de Villefranche-sur-Saône, ainsi que celles de l’Anssi et d’Orange Cyberdéfense, dépêchées au chevet des victimes. À la suite de cet échange, le Président a pris la parole publiquement.
Des mesures spécifiques au secteur de la santé
Emmanuel Macron a d’abord rappelé l’ampleur des attaques, « menaces extrêmement sérieuses, voire parfois vitales ». Dans les hôpitaux, les effets sont multiples : désorganisation des dossiers médicaux, arrêts des machines de stérilisations nécessaires aux interventions, ou encore impossibilité de visualiser certaines images nécessaires aux diagnostics. Le président note que les établissements de santé représentent 11 % des cas que l’Anssi a eu à traiter. Preuve que ce sont des cibles privilégiées, mais aussi que la menace s’étend tous les secteurs, privés comme publics.
« Le moment où cette menace devient tangible et visible, c’est aussi le moment où nous devons accélérer sur la numérisation de beaucoup de choses », constate le président. Les mesures fraîchement annoncées du plan cybersécurité (notre article détaillé) ne sont pas le seul soutien dont vont profiter les hôpitaux. Le gouvernement prévoit aussi 7 milliards d’euros d’investissements pour la transition numérique, dont 1 milliard d’euros dédié à la mise à niveau des services publics, et 2 milliards d’euros dans le Ségur de la santé. Toutes ces enveloppes doivent permettre « d’aller vers des systèmes plus robustes ».
En plus de ces stratégies de grande échelle, le président a annoncé une suite de mesures destinées spécifiquement au suivi des établissements de santé :
- Mise en place d’un observatoire permanent du niveau de sécurité des établissements de santé. Il sera chargé de coordonner le travail de détection, de surveiller et de mutualiser les retours d’expériences. Emmanuel Macron précise que ce projet a été mûri depuis l’attaque contre le CHU de Rouen en 2019.
- Le travail de sensibilisation va être « systématiquement inclus dans les formations ». Le président insiste : « Il nous faut sensibiliser. Pas besoin d’être expert pour déjouer la plupart des cyberattaques. Elles s’appuient souvent sur des négligences : un mot de passe trop évident, un fichier douteux, une demande suspecte par mail… »
- Le gouvernement va s’appuyer sur une « montée en puissance » du service national de cybersurveillance en santé. Il sera plus souvent mobilisé pour épauler l’Anssi dans ses missions de détection.
- La cybersécurité devra avoir une place plus importante dans les budgets des hôpitaux . « Pour chaque programme numérique, les structures de santé seront invitées à consacrer systématiquement 5 à 10 % du budget à la cybersécurité », insiste Emmanuel Macron.
- Le budget numérique et cyber des établissements de santé va être augmenté de 350 millions d’euros, un financement compris le Ségur de la santé. « Nous allons réévaluer chaque année les besoins », a déjà annoncé le président.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !