Au cours du second semestre 2022, deux attaques cyber d’envergure ont visé des hôpitaux français. D’abord le CHU de Corbeil-Essonnes, dans l’Essonne, le 21 août 2022, puis le CH de Versailles, dans les Yvelines, le 3 décembre. Ces attaques ont eu des impacts opérationnels importants sur des services hospitaliers déjà en tension. Dans les deux cas, le plan blanc pour les urgences sanitaires graves a été déclenché et certains patients dans les états les plus critiques ont dû être transférés vers d’autres hôpitaux. À la veille de Noël, le ministre de l’Intérieur et des Outre-mer, le ministre de la Santé et de la Prévention et le ministre délégué chargé de la Transition numérique et des Télécommunications ont donc organisé une réunion de travail sur la cybersécurité des hôpitaux. Étaient présents, l’ensemble des services mobilisés et les principales fédérations hospitalières.

À cette occasion, Gérald Darmanin, François Braun et Jean-Noël Barrot ont salué « la réactivité et l’engagement exceptionnel » des professionnels des deux établissements victimes d’une cyberattaque, qui ont permis d’assurer la continuité des soins pour tous les patients dans les meilleures conditions possibles. « Ce type d’attaque démontre à quel point nous devons amplifier collectivement nos efforts, d’autant plus que tous les indicateurs des menaces cyber sont en hausse », ont plaidé les trois ministres.

Ainsi, en 2021, environ 260 000 procédures judiciaires liées au cyber ont été enregistrées par les forces de sécurité intérieure, soit une augmentation de 20 % par rapport à l’année précédente. Dans le même temps, un millier d’attaques au rançongiciel ont été constatées sur le territoire. Enfin, la plateforme Thésée pour la plainte en ligne pour les escroqueries sur Internet, lancée en mars 2022, atteint déjà 75 000 signalements.

Afin de répondre à ces enjeux, la loi d’orientation et de programmation du ministère de l’Intérieur et des Outre-mer, actuellement soumise au contrôle du Conseil constitutionnel, prévoit de renforcer les moyens en la matière, avec, par exemple, le recrutement de 1 500 cyber patrouilleurs. Dans le cadre de la stratégie d’accélération pour la cybersécurité de France 2030, le Gouvernement mobilise également un programme d’investissement d’1 milliard d’euros. Cette stratégie vise à soutenir le développement d’un écosystème privé de fournisseurs de solutions souveraines et innovantes, qui permettent, notamment, de répondre aux besoins de cybersécurité des établissements de santé.

Depuis près de 2 ans, un « ambitieux » plan de renforcement cyber a été mené : audits des établissements conduits par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), campagne de sensibilisation « Tous cyber vigilants », déblocage de nouveaux financements pour améliorer la sécurisation des logiciels et autres outils techniques…, ont énuméré les ministres. À la suite de la cyberattaque ayant visé le CHU de Corbeil-Essonnes cet été, une enveloppe supplémentaire de 20 millions d’euros a été débloquée pour financer des actions de renforcement du niveau de cybersécurité des établissements de santé.

Afin de renforcer encore davantage la préparation des établissements et leur permettre de faire face en cas d’attaques, les trois ministres ont annoncé, le 21 décembre 2022, le lancement d’un vaste programme de préparation aux incidents cyber. Objectif : que 100 % des établissements de santé les plus prioritaires aient réalisé de nouveaux exercices d’ici mai 2023. Parallèlement, un plan blanc numérique sera élaboré au cours du premier trimestre 2023 pour doter les établissements des réflexes et pratiques à adopter si un incident cyber survient (activation d’une cellule de crise, évaluation des impacts, notamment). Enfin, ce nouveau plan entend mutualiser les ressources compétentes au niveau de chaque région, en lien avec les Agences régionales de santé (ARS).

Gérald Darmanin, François Braun et Jean-Noël Barrot ont réaffirmé que la nouvelle feuille de route 2023-2027 du numérique en santé accordera une place centrale à la cybersécurité des établissements. À cet effet, une task force associant l’ensemble des autorités compétentes est créée pour bâtir, d’ici mars 2023, un nouveau projet de plan cyber pluriannuel massif. Les ministres ont enfin rappelé la posture constante de l’État de non-paiement des rançons lors d’attaque sur les organismes publics. Ils ont aussi insisté sur l’importance de porter plainte systématiquement, afin que des enquêtes puissent être menées et aboutir. Récemment, un hacker russe au Canada, qui avait participé à plus de 115 attaques contre des victimes françaises, a été interpellé au Canada, se sont félicités le ministre de l’Intérieur et des Outre-mer, le ministre de la Santé et de la Prévention et le ministre délégué chargé de la Transition numérique et des Télécommunications.