Solutions
&
techno

De nouveaux moyens pour la cybersécurité hospitalière

Par Bertrand Lemaire | Le | Cybersécurité

Un programme de préparation aux incidents de cybersécurité en hôpitaux a été lancé ainsi que le déblocage de moyens nouveaux.

François Braun est ministre de la Santé et de la Prévention. - © govern.cat / Wikipedia
François Braun est ministre de la Santé et de la Prévention. - © govern.cat / Wikipedia

On ne compte plus les incidents de cybersécurité dans les structures hospitalières en France. Un certain nombre ont fait la Une des médias par leur impact comme l’attaque, le 21 août 2022, du CHU de Corbeil-Essonnes et celle contre le CH de Versailles le 3 décembre. A chaque fois, des conséquences importantes ont eu lieu sur la continuité des soins, avec une mise en danger de la vie des patients, entraînant des transferts vers d’autres établissements. Le 21 décembre 2022, Gérald Darmanin, ministre de l’Intérieur et des Outre-mer, François Braun, ministre de la Santé et de la Prévention et Jean-Noël Barrot, ministre délégué chargé de la Transition numérique et des Télécommunications, ont tenu une réunion de travail avec les services concernés. Plusieurs annonces ont été réalisées à l’issue visant toutes à renforcer la cybersécurité des structures hospitalières.

Déjà annoncé, le recrutement de 1500 « cyber-patrouilleurs », prévu à la loi d’orientation et de programmation du ministère de l’Intérieur et des Outre-mer, a été rappelé. Il en est de même du programme d’investissement d’un milliard d’euros dansle cadre de la « stratégie d’accélération pour la cybersécurité de France 2030 ». Cette stratégie vise à créer ou renforcer un « écosystème privé de fournisseurs de solutions souveraines et innovantes, qui permettent notamment de répondre aux besoins de cybersécurité des établissements de santé ».

La cybersécurité comme priorité nationale

Depuis deux ans, l’ANSSI mène une politique d’audits renforcés dans le secteur de la santé. Les personnels ont été sensibilisés au travers de la campagne « Tous cyber vigilants ». Un plan d’exercices va concerner tous les établissements sensibles d’ici l’été prochain. « Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, notamment) » précise le communiqué des trois ministres. Les moyens nécessaires à ce plan seront mutualisés au niveau régional sous l’égide des ARS (Agences régionales de santé).

Si des financements conséquents ont déjà été débloqués, y compris en cas de crise (20 millions d’euros lors de l’attaque du CHU de Corbeil-Essonnes par exemple), une équipe dédiée (qualifiée de « task force ») a été organisée pour préparer « la nouvelle feuille de route 2023-2027 du numérique en santé qui accordera une place centrale à la cybersécurité des établissements ». Les trois ministres ont rappelé que l’engagement de poursuites doit être systématique en cas de cyber-attaque et que l’État a comme principe le non-paiement des rançons lors d’attaque sur les organismes publics.


Sur le même sujet

- Marc Boget (CyberGendarmerie) : « notre dispositif est unique en Europe pour une force de l’ordre »