Les actualités estivales ont encore une fois montré la vulnérabilité du système de santé français face aux cyberattaques. Ce sont notamment les hôpitaux qui sont les principales victimes de ces attaques : en 2021, plus de 700 établissements de santé ont été victimes d’incidents de sécurité[1].
Fin août 2022, c’est le Centre hospitalier Sud Francilien de Corbeil-Essonnes qui a vu son activité se paralyser en raison d’une attaque par rançongiciel. Demandant une rançon de 10 millions de dollars pour débloquer l’activité de l’hôpital, les hackers ont rendu impossible l’utilisation de la majorité des ordinateurs et des instruments médicaux reliés au réseau. L’hôpital a ainsi été contraint de fonctionner au ralenti : impossibilité d’enregistrer de nouveaux patients et déprogrammation de certains actes médicaux et chirurgicaux. Les patients dont l’état n’était pas en « urgence vitale » ont donc été redirigé vers d’autres hôpitaux de la région[2]. De plus, ce sont également de nombreuses données à caractère personnelles qui ont été dérobée avec cette cyberattaque.
La cybersécurité des établissements de santé au cœur des préoccupations du gouvernement
Bien évidemment, le Centre hospitalier Sud Francilien de Corbeil-Essonnes a refusé de payer la rançon et une enquête a été ouverte. En effet, la doctrine de l’État français dicte de ne pas céder aux pressions des cyberattaques et de ne pas payer les rançons qui sont demandées. Toutefois, cette doctrine pourrait être amenée à changer avec le projet de loi d’orientation et de programmation du ministère de l’intérieur. Ce projet comprend une mesure qui oblige les entreprises à déposer une plainte sous 48h afin de pouvoir être indemnisés. Cette mesure vient alors confirmer que le remboursement d’une rançon est possible et surtout légal. Pour en savoir plus sur ce sujet.
Pour renforcer la cybersécurité des établissements de santé, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) s’est vu attribué un budget de 20 millions d’euros par le gouvernement. Ces 20 millions d’euros viennent s’ajouter à un budget initial de 25 millions d’euros consacré à la cybersécurité du secteur de la santé pour 2021 et 2022. Cette enveloppe supplémentaire servira principalement à moderniser les infrastructures informatiques des établissements de santé afin de les rendre moins vulnérables, mais également à accompagner les établissements dans leur lutte contre ces attaques[3].
Par Alexia Nay
—
Sources :
[1] https://www.usine-digitale.fr/article/les-incidents-de-securite-dans-le-secteur-de-la-sante-ont-double-en-un-an.N1997407
[2] https://www.france24.com/fr/%C3%A9co-tech/20220823-cyberattaque-d-un-h%C3%B4pital-un-mode-op%C3%A9ratoire-classique-mais-des-exigences-d%C3%A9mesur%C3%A9es
[3] https://www.lefigaro.fr/secteur/high-tech/le-gouvernement-debloque-20-millions-d-euros-pour-renforcer-la-cybersecurite-des-etablissements-de-sante-20220826
