La récente attaque contre l’hôpital de Dax n’était que la dernière d’une longue série, qui n’est pas près de s’arrêter. Cette semaine c’était au tour du groupe hospitalier de Villefranche-sur-Saône d’être paralysé par une cyberattaque rançongiciel. Déjà fin 2019, l’attaque du CHU de Rouen, paralysé pendant plus d’une semaine, était devenue un des symboles de cette tendance de fond.

Dépassé, le président de la Fédération hospitalière française (FHF) Frédéric Valletoux a pris la parole au micro de France Info, pour demander une aide renforcée aux pouvoirs publics : « Les hôpitaux doivent faire partie des cibles protégées au premier niveau, c’est une demande que l’on fait déjà depuis un moment au gouvernement. Ils doivent nécessiter de protections supplémentaires et d’un accompagnement supplémentaire. »

Image d'erreur

Deux hôpitaux ont été paralysés en deux semaines. // Source : CCO/Ahmad Ardity de Pixabay

Cet appel, renforcé par une attention médiatique renouvelée sur le sujet, semble avoir été entendu. Lors de la session de question au gouvernement du 17 février, le secrétaire d’État chargé de la Transition numérique Cédric O a pris la parole face aux députés. D’après lui, les autorités recensent une attaque par semaine contre les hôpitaux depuis le début de l’année de 2021. L’an dernier, l’Anssi — l’agence en charge des incidents informatiques critiques — a dû intervenir sur part moins de 27 attaques majeures au sein des établissements de santé. Face à ces chiffres inquiétants, le secrétaire d’État explique que plus de 110 hôpitaux ont été accompagnés par des audits de sécurité, et que 11 d’entre eux sont encore « accompagnés au jour le jour ».

À juste titre, le ministre a rappelé que cette situation n’est pas propre au secteur hospitalier : « C’est l’ensemble de notre économie, l’ensemble de notre société qui est sous la menace. ». Les gangs derrière les rançongiciels se sont développés à un rythme effrayant ces trois dernières années. Ils deviennent plus techniques, mieux organisés et se permettent des méthodes d’extorsion toujours plus pernicieuses. Ils peuvent désormais faire plier de gigantesques organisations avec leurs demandes de rançon pouvant dépasser la dizaine de millions d’euros.

Cédric O préparait le terrain pour la prise de parole d’Emmanuel Macron, destiné à « faire franchir un cap » et « augmenter la vigilance » face aux attaques. Ce jeudi 18 février, les deux hommes se sont entretenus avec les équipes des hôpitaux de Dax et de Villefranche-sur-Saône, ainsi que celles de l’Anssi et d’Orange Cyberdéfense, dépêchées au chevet des victimes. À la suite de cet échange, le Président a pris la parole publiquement.

Des mesures spécifiques au secteur de la santé

Emmanuel Macron a d’abord rappelé l’ampleur des attaques, « menaces extrêmement sérieuses, voire parfois vitales ». Dans les hôpitaux, les effets sont multiples : désorganisation des dossiers médicaux, arrêts des machines de stérilisations nécessaires aux interventions, ou encore impossibilité de visualiser certaines images nécessaires aux diagnostics. Le président note que les établissements de santé représentent 11 % des cas que l’Anssi a eu à traiter. Preuve que ce sont des cibles privilégiées, mais aussi que la menace s’étend tous les secteurs, privés comme publics.

« Le moment où cette menace devient tangible et visible, c’est aussi le moment où nous devons accélérer sur la numérisation de beaucoup de choses », constate le président. Les mesures fraîchement annoncées du plan cybersécurité (notre article détaillé) ne sont pas le seul soutien dont vont profiter les hôpitaux. Le gouvernement prévoit aussi 7 milliards d’euros d’investissements pour la transition numérique, dont 1 milliard d’euros dédié à la mise à niveau des services publics, et 2 milliards d’euros dans le Ségur de la santé. Toutes ces enveloppes doivent permettre « d’aller vers des systèmes plus robustes ».

En plus de ces stratégies de grande échelle, le président a annoncé une suite de mesures destinées spécifiquement au suivi des établissements de santé :

  • Mise en place d’un observatoire permanent du niveau de sécurité des établissements de santé. Il sera chargé de coordonner le travail de détection, de surveiller et de mutualiser les retours d’expériences. Emmanuel Macron précise que ce projet a été mûri depuis l’attaque contre le CHU de Rouen en 2019.
  • Le travail de sensibilisation va être « systématiquement inclus dans les formations ». Le président insiste : « Il nous faut sensibiliser. Pas besoin d’être expert pour déjouer la plupart des cyberattaques. Elles s’appuient souvent sur des négligences : un mot de passe trop évident, un fichier douteux, une demande suspecte par mail… »
  • Le gouvernement va s’appuyer sur une « montée en puissance » du service national de cybersurveillance en santé. Il sera plus souvent mobilisé pour épauler l’Anssi dans ses missions de détection.
  • La cybersécurité devra avoir une place plus importante dans les budgets des hôpitaux . « Pour chaque programme numérique, les structures de santé seront invitées à consacrer systématiquement 5 à 10 % du budget à la cybersécurité », insiste Emmanuel Macron.
  • Le budget numérique et cyber des établissements de santé va être augmenté de 350 millions d’euros, un financement compris le Ségur de la santé. « Nous allons réévaluer chaque année les besoins », a déjà annoncé le président.
une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.