Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 28/11/2019
M. Arnaud Bazin attire l'attention de M. le secrétaire d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique, sur le piratage de données sensibles concernant les patients à l'hôpital.
Une cyberattaque d'ampleur a en effet touché le centre hospitalier universitaire (CHU) de Rouen, ce qui a occasionné l'arrêt des ordinateurs et des applications sur l'ensemble de ses cinq sites qui emploient environ 10 000 salariés et abritent près de 2 500 lits.
Si la sécurisation était manifestement clairement déployée, évitant ainsi le piratage des données des patients, il n'en demeure pas moins que ce genre d'attaques, susceptibles de survenir à tout moment, doit être anticipée et que l'information du public doit être complète afin d'éviter tout caractère anxiogène.
En outre, une enquête judiciaire a été ouverte pour « accès frauduleux, maintien frauduleux, modification et introduction frauduleuse et entraves au fonctionnement dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État, en bande organisée » ainsi que pour « extorsion et tentative d'extorsion en bande organisée ».
Il lui demande donc quelles mesures il entend préconiser afin que l'agence nationale de la sécurité des systèmes d'information (ANSSI) puisse sécuriser encore davantage nos hôpitaux dont la vulnérabilité est ainsi clairement démontrée.
- page 5883
Transmise au Premier ministre
Réponse du Premier ministre publiée le 11/03/2021
Depuis 2018, le secteur de la santé est régulièrement la cible d'attaques informatiques de sophistication et d'intensité variables. Les effets de ces attaques sont particulièrement préoccupants au regard du niveau de cybersécurité des établissements de soins. Il en résulte une vulnérabilité d'autant plus préoccupante qu'elle peut ajouter aux difficultés rencontrées durant la pandémie en cours, ainsi qu'en atteste la grave cyberattaque dont a été victime l'hôpital de Dax au début du mois de février 2021. Une cyberattaque à l'encontre d'un hôpital peut interrompre des systèmes d'information indispensables à la fourniture des soins, ou provoquer des pertes de données médicales sensibles. Dans les cas les plus graves, elle peut, de façon directe ou indirecte, mettre en danger la vie des patients. Face à ces risques, la cybersécurité des établissements de santé est considérée comme une priorité nationale. Le ministère des solidarités et de la santé (MSS) a ainsi lancé un plan de renforcement des établissements face au risque numérique. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) accompagne le ministère afin d'accélérer la sécurisation d'un certain nombre d'établissements hospitaliers particulièrement importants. En lien avec le ministère, l'ANSSI accompagne ainsi ces hôpitaux afin, dans un premier temps, d'évaluer leur degré d'exposition aux attaques et, dans un second temps, de relever leur niveau de sécurité par l'application de recommandations adaptées. Il s'agit en outre, au travers d'actions de sensibilisation et de recommandations sectorielles spécifiques, d'obtenir à moyen terme une prise de relais par des prestataires compétents, à même d'accompagner l'ensemble des établissements hospitaliers, très nombreux et aux besoins de cybersécurité très variés. À cet égard, parmi les points particuliers nécessitant une attention soutenue, le sujet de la protection des nombreuses données sensibles produites ou utilisées par le secteur de la santé mérite une mention particulière. Ces données sont particulièrement prisées par des attaquants d'un haut niveau de compétence technique, qu'ils soient des cybercriminels ou soutenus par des États. Il est à ce titre indispensable de veiller à la mise en sécurité au niveau idoine des bases de données de santé, en particulier les plus sensibles, c'est-à-dire celles qui sont susceptibles de contenir des données personnelles.
- page 1595
Page mise à jour le