Question de Mme COHEN Laurence (Val-de-Marne - CRCE) publiée le 04/03/2021

Mme Laurence Cohen interroge M. le ministre des solidarités et de la santé sur la fuite massive de données médicales qui vient de se produire, du fait d'un piratage d'une trentaine de laboratoires de biologie médicale situés en France.
Plus de 500 000 patients seraient concernés. Des informations personnelles et confidentielles (nom, prénom, numéro de sécurité sociale, pathologie, adresse postale…) se trouvent en accès libre sur internet, ce qui constitue une atteinte grave au respect de la vie privée et au secret médical. De plus, cela expose ces patients à de potentielles escroqueries.
À ce jour, aucune victime n'est informée.
Cet incident, le plus important de France, s'inscrit dans un contexte de plusieurs cyberattaques, notamment d'hôpitaux. Il pose la question de la sécurité des établissements, et de la protection des données de santé.
D'un manière générale et plus large, elle rappelle qu'elle a déjà attiré l'attention du Gouvernement sur la nécessité de garantir, dans le cadre du développement du Heath Data Dub, que le traitement et la conservation des données de santé personnelles des Françaises et des Français soient effectués sur des serveurs publics situés en France et soumis au droit français.
En effet, l'hébergement de la plateforme de ces données de santé est confié à Microsoft, un groupe américain, ce qui ne permet pas de maitriser notre souveraineté et notre sécurité. D'ailleurs, le Conseil d'État s'est récemment inquiété du risque de transfert des données de santé aux services de renseignement américains.
Aussi, elle lui demande ce qu'il entend faire pour éviter qu'une nouvelle faille se produise et assurer une totale protection de ces données particulièrement sensibles.

- page 1417

Transmise au Première ministre


Réponse du Première ministre publiée le 23/06/2022

Un fichier comportant des données médicales sensibles a effectivement été dérobé à des laboratoires de biologie médicale puis mis en ligne sur internet en février 2021. Ce fichier comprenait des informations personnelles de près de 500 000 patients. À la suite de la révélation de cette divulgation de données personnelles, la section cybercriminalité du parquet de Paris a ouvert une enquête, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), aux chefs « d'accès et maintien frauduleux dans un système de traitement automatisé de données » et « d'extraction, détention et transmission frauduleuse » de ces données. Cette procédure judiciaire étant en cours, les causes de cette fuite de données ne sont pas encore déterminées. La Commission nationale de l'informatique et des libertés (CNIL) s'est également saisie du sujet en appelant les responsables de traitement concernés à procéder à une notification auprès de ses services. Afin d'éviter que de tels incidents se reproduisent, l'ANSSI continue d'appuyer le ministère des solidarités et de la santé dans la sécurisation des systèmes d'information, notamment de ceux en lien avec la gestion de la crise sanitaire. Elle diffuse régulièrement des alertes sur des vulnérabilités ou des incidents susceptibles d'affecter ses systèmes d'information afin que le ministère des solidarités et de la santé puisse les corriger et en informer ses prestataires. De façon plus générale, l'ensemble du secteur de la santé est particulièrement visé par les attaques malveillantes. Le ministère des solidarités et de la santé a donc lancé en 2020, en lien avec l'ANSSI, un plan de renforcement de la cybersécurité des établissements de santé, dont la cybersécurité est une priorité nationale. Dans un premier temps, l'ANSSI a évalué le degré d'exposition des hôpitaux aux cyberattaques et, dans un second temps, leur a apporté son aide pour rehausser leur niveau de sécurité, par des recommandations concrètes. En outre, l'objectif était de produire un « effet de levier » au travers d'actions de sensibilisation et de recommandations sectorielles spécifiques avec une prise de relais, à moyen terme, par des prestataires à même d'accompagner l'ensemble des établissements hospitaliers, très nombreux et aux besoins de cybersécurité très variés. Des outils permettant d'analyser et de mettre en sécurité les réseaux de manière autonome ont été transmis à plusieurs centaines d'établissements de santé et près de 10 établissements de santé d'importance ont bénéficié d'un accompagnement et d'un suivi régulier de l'ANSSI dans l'amélioration de leurs systèmes d'information. Par ailleurs, mi-2021, 102 établissements de santé ont été désignés comme opérateurs de services essentiels. À ce titre, ils doivent désormais se mettre en conformité avec les dispositions d'application de la directive européenne Network and Information Security. Ce projet de renforcement de la cybersécurité des établissements de santé a été poursuivi et renforcé avec le lancement du volet cybersécurité du plan France Relance. Un budget de 136 millions d'euros - augmenté de 40 Millions d'euros en 2022 - a permis à l'ANSSI de mettre en place des parcours de sécurisation, contribuant significativement à l'élévation du niveau de sécurité de la chaîne hospitalière. Ces parcours permettent d'apporter des compétences, via des prestataires de cybersécurité auprès de chaque bénéficiaire pour définir l'état de sécurité de son système d'information et les travaux les plus urgents à réaliser, ainsi qu'un accompagnement méthodologique par l'ANSSI. Ces parcours ouvrent droit à un soutien financier, via une subvention de 140 000 euros par établissement de santé. En mars 2022, 120 établissements de santé étaient engagés dans ces parcours. L'ANSSI a également contribué à l'autonomisation de la chaîne hospitalière pour la sécurisation de ses systèmes d'information en accompagnant la redéfinition des missions et la montée en compétence de la cellule ACSS (cellule d'accompagnement cybersécurité des structures de santé) du ministère de la santé et afin de lui permettre de rejoindre l'association des centres de réponse à incidents de cybersécurité français, l'InterCERT France, en tant que CERT Santé. Enfin, en ce qui concerne la coopération européenne, l'ANSSI échange régulièrement avec ses homologues sur l'état de la menace, en particulier à travers le réseau CSIRTs-Network, constitué par des représentants nationaux des équipes de réponse aux incidents de sécurité informatique (CSIRT) des États membres de l'UE et de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), au sein duquel les membres peuvent coopérer, échanger des informations techniques. En outre, l'exercice cybereurope, programmé en juin 2022, permettra à certains établissements de santé de s'entraîner à la gestion d'une crise de cybersécurité. Il permettra également de tester la coordination européenne dans le contexte d'une telle crise ciblant le secteur de la santé. Le retour d'expérience de cet exercice permettra d'améliorer les mécanismes nationaux et européens dans ce domaine.

- page 2998

Page mise à jour le