En 2020, la cybersécurité est devenue un enjeu majeur pour les hôpitaux. Face à la multiplication des attaques qui menacent de paralyser leur fonctionnement, les SI des établissements de santé prennent la mesure du danger. Faute de moyens pour renforcer leur sécurité informatique, les pouvoirs publics accélèrent et semblent prêts à s’engager financièrement.
Cyberattaques : l'hôpital contre-attaque
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé qu’en 2020, 27 centres hospitaliers avaient été la cible d’une cyberattaque, et ce, en pleine crise sanitaire. En 2021, c’est une attaque par semaine que l’ANSSI comptabilise. Les centres hospitaliers de Dax ou encore de Villefranche-sur-Saône font parties des victimes. Une situation sans précédent qui, selon Vincent Trély, président fondateur de l’APSSIS (Association pour la sécurité des systèmes d’information de santé) réside dans le fait que « les pirates sont fainéants et les SI hospitaliers beaucoup plus fragiles que ceux de Dassault ou de la Société Générale. Ces attaques peuvent donc rapporter gros sans trop d’effort ! ». En outre, il ajoute qu’« un dossier médical se revend en moyenne 150 dollars l’unitésur le Darknet. Le moindre hôpital de province en compte environ 100 000 dans leur base. Une attaque avec exfiltration de ces dossiers de patients peut ainsi leur rapporter 15 millions de dollars ! Des officines peuvent également les racheter pour le compte de multinationales en appliquant dessus des algorithmes pour en tirer de l’information fine utile dans une démarche business ».
Un investissement massif et un accompagnement renforcé
À l’instar de l’usine 4.0, l’hôpital s’est aussi largement modernisé. Dossier patient informatisé (DPI) et stocké dans le cloud, imagerie médicale, robotique médicale ou même gestion des bâtiments, la technologie s’est invitée à l’hôpital. Une modernisation qui se traduit par l’intégration massive du numérique et du tout connecté. « Désormais, au sein d’un hôpital, 100 % ou presque des fonctions métiers sont numérisées, poursuit Vincent Trely. La surface informatique est donc beaucoup plus étendue qu’il y a quelques années, ce qui explique que la santé soit devenue une cible pour les cyberpirates depuis 2018 au travers de ransomware ou de vol d’informations médicales. » Pour tenter de stopper cette menace et limiter les risques, le gouvernement a annoncé un vaste plan d’investissement pour renforcer la cybersécurité des hôpitaux et des centres hospitaliers français.
350 millions d’euros seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures
Le Ségur de la santé a ainsi prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Ils doivent notamment permettre d’accompagner leur transition numérique, de moderniser les systèmes d’information existants, et de renforcer leur interopérabilité, leur convergence et leur sécurité. Dans ce cadre, 350 millions d’euros seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures.
En plus de ce montant, la stratégie nationale pour la cybersécurité, annoncée par le gouvernement le 18 février 2021, a attribué à l’ANSSI une enveloppe budgétaire de 136 millions d’euros pour renforcer celle de l’État. Un budget déjà dédié auquel 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits afin de les accompagner dans leur démarche de « cybersécurisation ».
Anne-Sophie David
