L’année 2022 se termine et pour le gouvernement, il est temps, entre autres, de faire un bilan en matière de cybersécurité. À l’image l’année précédente plusieurs attaques ont visé et entravé le travail du personnel des établissements de santé, l’hôpital de Versailles étant le dernier en date. Pour répondre à ce phénomène le gouvernement planche pour 2023 sur le lancement d’un « plan blanc numérique » et de l’arrivée de nouveaux exercices de préparation aux attaques informatiques, selon un communiqué, le 21 décembre 2022.

Des exercices de préparation pour sensibiliser les établissements de santé aux cyberattaques

Les ministres de l’Intérieur, Gérald Darmanin, de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique et des Télécommunications, Jean-Noël Barrot, ont « organisé une réunion de travail sur la cybersécurité des hôpitaux ». Leur but est de définir et de mettre en pratique « un vaste programme de préparation aux incidents cyber ».

D’ici mai 2023, l’ensemble des établissements de santés considérés comme prioritaires devront réaliser des exercices de préparation spécifiques leur permettait de faire face en cas d’attaque. Parallèlement à cela, « un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient ». Un plan blanc consiste pour un établissement à se préparer en cas de crise sanitaire majeure, épidémie, attentat, catastrophe naturelle… en lien avec les Agences régionales de santé.

Ces nouvelles annonces interviennent quelques jours seulement après la révélation par l’agence du numérique en santé de sa feuille de route. Celle-ci mise sur le numérique pour améliorer le système de santé actuel. Ses grandes lignes sont basées sur la prévention des Français et des acteurs de la santé autour des outils numériques existants, leur facilité d’usage, l’amélioration de l’offre de soins grâce au numérique et le numérique pour favoriser l’innovation.

Les établissements de santé, une des cibles choisies en France par les cybercriminels

Durant cette année 2022, plusieurs cyberattaques ayant touché des établissements de santé ont été médiatisées. En août, c’est le Centre Hospitalier Sud-Francilien basé à Corbeil-Essonnes (91) qui a subi un ransomware. Il s’agit d’une attaque informatique où des pirates réussissent à trouver un accès au système d’information (SI) d’une organisation. En exploitant notamment l’hameçonnage consistant à envoyer un mail avec une pièce jointe vérolée, les hackeurs peuvent s’introduire dans le SI. Ils récupèrent les données puis bloquent leur accès. Le cybercriminel va réclamer une rançon à sa victime afin qu’elle puisse retrouver l’accès à ses données sans qu’il les diffuse publiquement.

Dans le cas de la cyberattaque ayant touché l’hôpital de Corbeil-Essonnes, le groupe Lockbit à l’origine du hack, a mis en ligne sur son site officiel un dossier de 11 Go contenant toutes les données spoliées. L’établissement de santé avait en effet refusé de payer la rançon : payer ne garantit en rien le fait que les hackeurs puissent redonner l’accès aux données et ne les diffusent.

Pareillement, en décembre, c’est l’hôpital de Versailles qui a subi une attaque informatique. Là encore, un rançongiciel a été utilisé et les hackeurs n’ont pas hésité à formuler une demande de rançon. Plusieurs semaines après la cyberattaque, l’hôpital n’a toujours pas retrouvé son fonctionnement normal et tente de retrouver progressivement l’usage de ses outils numériques. Pour ces établissements de santé, de telles attaques peuvent avoir de graves conséquences, notamment lorsqu’elles mettent en péril l’état de santé des patients.

En septembre dernier, le ministre de la Santé, François Braun, a annoncé que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) allait recevoir 20 millions d’euros dans le but d’améliorer la protection des hôpitaux. Deux mois plus, une nouvelle enveloppe de 48,4 millions d’euros a été allouée pour les mêmes raisons. L’accent sera mis sur la prévention, la formation et sur le recrutement de plus de 1 500 cyber patrouilleurs.