Question de M. CAMBON Christian (Val-de-Marne - Les Républicains) publiée le 04/08/2022
M. Christian Cambon attire l'attention de M. le ministre de la santé et de la prévention sur les attaques informatiques qui se multiplient contre les hôpitaux français.
Depuis le début de la crise du covid 19, ces établissements de santé sont de plus en plus menacés par des équipes de cybercriminels très organisées. Ces hackers contrôlent des serveurs et demandent une rançon pour rendre l'accès aux données. Il est par exemple impossible pour le personnel d'ouvrir les mails ou de consulter les dossiers numériques des patients. Ces groupes originaires d'Europe de l'Est ou de Chine accèdent au serveur de l'hôpital et chiffrent l'intégralité des données.
Pourtant, la France, avec l'agence nationale de sécurité des systèmes informatiques (ANSSI) est à la pointe en Europe pour lutter contre ces cyberattaques. Avec ses centaines de spécialistes, notamment d'anciens hackers, elle intervient principalement lorsque des entreprises ou établissements stratégiques sont déjà attaqués.
Le problème serait davantage le manque de moyens humains et financiers mis en place à la sécurité informatique des hôpitaux français pour éviter ces attaques en amont. Ce budget n'est pas particulièrement pris en compte et les mises à jour régulières sont trop souvent négligées par manque de temps du personnel soignant.
Il lui demande quels moyens il souhaite mettre en place pour assurer la sécurité des réseaux informatiques des hôpitaux français.
- page 4124
Transmise au Ministère de la santé et de la prévention
Réponse du Ministère de la santé et de la prévention publiée le 21/09/2023
La sécurisation des systèmes d'information hospitaliers (SIH) constitue l'un des fondements stratégiques de la politique numérique mise en oeuvre par le ministère de la santé et de la prévention. Les premiers accompagnements hospitaliers ont débuté dès 2012 par une mise en place des prérequis relatifs à la sécurité numérique. Ils ont été portés par les différents programmes de financement des systèmes d'information hospitaliers : Plan Hôpital Numérique 2012-2017 et programme HOPE'N 2018-2022, ainsi que dans le cadre du volet numérique du Ségur de la santé. Dès 2021, le ministère a renforcé la panoplie des outils contribuant à la fois à l'organisation du déploiement rapide des mesures de sécurité, et à en évaluer les effets. L'Agence nationale de sécurité des systèmes informatiques (ANSSI) et l'Agence du numérique en santé (ANS) réalisent des audits de sécurité pour les établissements de santé. L'ANS propose par ailleurs des kits destinés aux établissements pour organiser leurs exercices de crise. Le référentiel MATURIN'H, outil d'amélioration continue de la qualité des systèmes d'information, permet à chaque établissement d'évaluer son niveau de maturité au regard des mesures prioritaires du domaine de la cybersécurité, et d'objectiver les actions entreprises. L'Observatoire permanent de la sécurité des systèmes d'information des établissements de santé (OPSSIES), annoncé par le Président de la République lors de la présentation de la stratégie nationale pour la cybersécurité en 2021, constitue un outil d'aide à la décision pour les acteurs nationaux et régionaux dans la lutte contre la cybercriminalité dirigée contre le secteur sanitaire. Sur le volet financier, les établissements déclarés OSE (Opérateurs de services essentiels) ayant réalisé les audits couvrant les annuaires centraux et de cybersurveillance sont éligibles à un accompagnement financier dans le cadre des aides à la contractualisation (AC) portées par les agences régionales de santé. À ces mesures s'ajoutent des accompagnements financiers dans le cadre, du Ségur relevant du fonds pour la modernisation et l'investissement en santé (FMIS), et du plan France Relance, dont une partie est affectée à la mise en place de « parcours de cybersécurité ». Pour accompagner les équipes hospitalières, le guide d'aide à la préparation de la gestion du risque numérique (plan blanc numérique), annoncé en décembre 2022 par le Gouvernement, a été transmis le 15 juin 2023 aux agences régionales de santé pour diffusion auprès des établissements de santé. Ce guide vise à fournir un cadre méthodologique et pratique pour prévenir le risque numérique, et des recommandations à suivre pour gérer au mieux une cyberattaque, et ses conséquences, dans l'environnement hospitalier. Lancé en 2023 par le ministère de la santé et de la prévention, le programme CaRE (Cybersurveillance accélération et résilience des établissements), vise à renforcer la résilience numérique des établissements de santé, en mettant à leur disposition des référentiels et des outils pour faire face aux incidents, rattraper leur retard et pérenniser leur niveau de cybersécurisation. Dans la continuité des actions et dispositifs précédemment décrits, il élargit le périmètre des établissements ciblés. Il se structure autour des thématiques de gouvernance et résilience, de ressources et de leur mutualisation, de sensibilisation, de sécurité opérationnelle et s'accompagne de financements. Le ministère de la santé et de la prévention accompagne au quotidien l'ensemble des établissements de santé. Au-delà des mesures déjà engagées, il continuera d'adapter les réponses et les outils aux évolutions d'une cybermenace multiforme et évolutive.
- page 5559
Page mise à jour le