Cyberattaques contre les centres hospitaliers

Question écrite

Question écrite n°04384 - 16e législature

Question de M. DÉTRAIGNE Yves (Marne - UC) publiée le 15/12/2022

M. Yves Détraigne souhaite appeler l'attention de M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications sur les cyberattaques dont peuvent être victimes les centres hospitaliers, comme l'hôpital de Dax, Corbeil-Essonnes, ou celui de Versailles plus récemment.

À l'instar du milieu économique, le monde de la santé est devenu une cible pour ces nouvelles pratiques totalement indignes envers les patients et envers les soignants. Il est donc urgent que le Gouvernement mette en place un véritable plan de défense, la cybersécurité étant à la fois un sujet politique et un enjeu majeur de la souveraineté nationale.

Ainsi, le président de la fédération hospitalière de France demande que les établissements soient dotés d'équipes spécialisées, dédiées à cette cybersécurité, et que les plans d'investissement en la matière soient abondés. En effet, le niveau actuel des dépenses liées aux systèmes d'information représente 1,5 % des dépenses totales.

Considérant que ces pirates mettent en danger la vie de patients en bloquant les systèmes informatiques et en réclamant des rançons exorbitantes, il lui demande d'intervenir pour mieux protéger les hôpitaux contre ces attaques massives de plus en plus récurrentes.

- page 6468

Transmise au Première ministre

Réponse du Première ministre publiée le 02/02/2023

Le Panorama de la menace informatique 2021 publié par l'ANSSI au mois de mars 2022 a confirmé que, de façon générale, le nombre des cyberattaques était en forte hausse. Sur la période 2020-2021, le nombre d'intrusions avérées dans des systèmes d'information signalées à l'ANSSI a augmenté de 37 %. La menace représentée par les rançongiciels s'est stabilisée à un niveau très élevé (203 attaques traitées en 2021 contre 192 en 2020). Les entités touchées en premier lieu par les rançongiciels sont les entreprises, petites, moyennes et de taille intermédiaire, qui représentent 34 % des victimes en 2021 (+ 53 % par rapport à 2020), suivies par les collectivités (19 %) et les entreprises stratégiques (10 %). Parmi les établissements publics, il est indéniable que les centres hospitaliers sont particulièrement visés, comme le rappelle la question. Les attaques à leur encontre relèvent de deux types de motivations : le vol d'importantes quantités de données personnelles de santé, susceptibles d'être revendues illégalement, et la séquestration des systèmes d'information. Les conséquences d'un blocage des systèmes d'information d'un hôpital sont particulièrement préoccupantes puisqu'elles peuvent entraîner soit une dégradation, soit un arrêt d'une partie des activités, avec des conséquences néfastes pour les patients. De façon générale, la sécurité des systèmes d'information doit faire l'objet d'un renforcement. Afin d'engager cet effort, le Gouvernement a fait le choix stratégique de doter le plan d'investissement France Relance d'un volet consacré au renforcement de la cybersécurité. Pour ce faire, une première enveloppe de crédits a été fixée à 136 M€ en 2021. Elle a été complétée de 40 M€ supplémentaires en 2022. L'objectif stratégique poursuivi est avant tout de réhausser le niveau de sécurité numérique de l'État et des services publics. Ces crédits ont, en partie, bénéficié aux établissements de santé.  Aux côtés des collectivités territoriales, des établissements publics et des autres institutions publiques, les hôpitaux ont pu bénéficier des parcours de sécurité destinés à poser un diagnostic de sécurité des systèmes d'information et engager les premières actions de remédiation. Afin de poursuivre cet effort au-delà du plan France relance, le ministre délégué chargé de la transition numérique et des télécommunications a abondé de 20 M€ les crédits du Ségur de la santé. Leur utilisation et les suites du processus de cybersécurisation des systèmes hospitaliers relèveront désormais du ministère de la santé et de la prévention. Par ailleurs, le 27 décembre 2022 a paru la directive européenne 2022/2555 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite NIS2. Cette directive complète la directive NIS de 2018. Depuis 2018, l'ANSSI est chargée de la mise en œuvre et du suivi de cette directive, notamment des dispositions concernant les opérateurs de services essentiels prévues aux articles 5 à 9 de la loi n° 2018-133 du 26 février 2018. En application de l'article 5, environ 270 opérateurs de services essentiels ont été désignés. Les opérateurs désignés depuis 2021 sont pour la grande majorité des établissements de santé, compte tenu du niveau de la menace qui les affecte, du rôle essentiel de ce secteur en période de crise sanitaire et de la priorité que constitue le renforcement de leur niveau de sécurité. De façon générale, la désignation de nouveaux opérateurs essentiels est réalisée en étroite collaboration avec les ministères de tutelle, en l'occurrence le ministère de la santé et de la prévention. L'ANSSI a notamment pour objectif de préciser, conjointement avec chaque ministère compétent, les critères de détermination des services essentiels de la Nation, par secteur considéré. Le dispositif NIS s'applique ainsi progressivement à un nombre croissant d'opérateurs qui n'étaient soumis jusqu'alors à aucune réglementation en matière de cybersécurité. Les opérateurs disposent de délais compris entre un et deux ans à compter de leur désignation pour mettre en œuvre les règles de sécurité (article 6). Ils doivent au préalable identifier les systèmes d'information essentiels auxquels ces règles s'appliqueront et les déclarer à l'ANSSI. Les opérateurs sont tenus de déclarer les incidents affectant ces systèmes d'information essentiels dès qu'ils sont identifiés (article 7). S'agissant des contrôles (article 8), ils ne peuvent être lancés que lorsque les délais prévus pour la mise en œuvre des règles de sécurité sont arrivés à échéance, ce qui a été pris en compte dans la planification des audits menés par l'ANSSI en 2022. Les 21 mois à venir seront consacrés aux travaux de préparation à la transposition de la directive NIS2. Cette nouvelle directive prévoit des évolutions importantes dont la principale est l'élargissement très significatif du champ des opérateurs qui seront soumis au dispositif. La question du renforcement de la cybersécurité du secteur hospitalier s'inscrit donc dans un mouvement en passe d'être généralisé ou à tout le moins très sensiblement élargi.

- page 720

Page mise à jour le