19 avril 2023

Pour renforcer la cybersécurité des établissements de santé

Ces derniers mois, deux attaques cyber d’envergure ont visé des hôpitaux français : le CHU de Corbeil-Essonnes (91) le 21 août et le CH de Versailles (78) le 3 décembre. Ces attaques ont eu des impacts opérationnels importants sur des services hospitaliers déjà en tension. En 2021, environ 260 000 procédures judiciaires liées au cyber ont été enregistrées par les forces de sécurité intérieure (+20% par rapport à 2020). Un millier d’attaques au rançongiciel ont été constatées en 2021 sur le territoire. La plateforme Thésée pour la plainte en ligne pour les escroqueries sur Internet lancée en mars atteint déjà 75 000 signalements. Afin de répondre à ces enjeux, la loi d’orientation et de programmation du ministère de l’Intérieur et des Outre-mer renforce considérablement les moyens en la matière, avec par exemple le recrutement de 1 500 cyber patrouilleurs.

Depuis près de deux ans, un ambitieux plan de renforcement cyber a été mené : audits des établissements conduits par l’Anssi, vaste campagne de sensibilisation « Tous cyber vigilants », déblocage de nouveaux financements pour améliorer la sécurisation des logiciels et autres outils techniques, etc. À la suite de la cyberattaque ayant visé le CHU de Corbeil-Essonnes l’été dernier, une enveloppe supplémentaire de 20 millions d’euros avait été débloquée pour financer des actions de renforcement du niveau de cybersécurité des établissements de santé. Afin de renforcer encore davantage la préparation des établissements et leur permettre de faire face en cas d’attaques, les ministres annoncent aujourd’hui le lancement d’un vaste programme de préparation aux incidents cyber. L’objectif est que 100% des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023. Par ailleurs, un plan blanc numérique sera élaboré au premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, notamment). Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région en lien avec les agences régionales de santé (ARS).

https://sante.gouv.fr/actualites/presse/communiques-de-presse/article/de-nouveaux-engagements-pour-renforcer-la-cybersecurite-des-etablissements-de