L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a révélé qu’en 2020, 27 centres hospitaliers avaient été la cible d’une cyberattaque, et ce, en pleine crise sanitaire. En  2021, c’est  une  attaque  par  semaine que l’ANSSI comptabilise. Les centres hospitaliers de Dax ou encore de Villefranche-sur-Saône  font parties des victimes. Une situation sans précédent qui, selon Vincent Trély, président fondateur de  l’APSSIS  (Association  pour  la  sécurité des systèmes d’information de santé) réside dans le fait que «  les pirates sont fainéants et les SI hospitaliers beaucoup plus fragiles que ceux de Dassault ou de la Société Générale. Ces attaques peuvent donc rapporter gros  sans trop d’effort !  ». En outre, il ajoute qu’«  un  dossier médical se revend en moyenne 150  dollars l’unitésur le    Darknet. Le moindre hôpital de province en compte environ 100  000  dans leur base. Une attaque avec exfiltration de  ces  dossiers  de patients  peut ainsi leur    rapporter 15  millions de dollars ! Des  officines peuvent également les racheter pour le compte de multinationales en appliquant dessus des algorithmes pour en tirer  de l’information  fine  utile  dans une démarche business  ».  

Un investissement massif et  un accompagnement renforcé

À l’instar de l’usine 4.0, l’hôpital s’est aussi largement modernisé. Dossier patient informatisé (DPI) et stocké dans le cloud, imagerie médicale, robotique médicale ou même gestion des bâtiments, la technologie s’est invitée à l’hôpital. Une modernisation qui se traduit par l’intégration massive du numérique et du tout connecté. «  Désormais, au sein d’un hôpital, 100  % ou presque des fonctions métiers sont numérisées,  poursuit Vincent Trely. La surface informatique est donc beaucoup plus étendue qu’il y a quelques années, ce qui explique que la santé soit devenue une cible pour les cyberpirates depuis 2018  au travers de ransomware ou de vol  d’informations médicales.  »   Pour tenter de stopper cette menace et limiter  les  risques,  le  gouvernement  a annoncé un vaste plan d’investissement pour renforcer la cybersécurité des hôpitaux et  des centres  hospitaliers français.

350 millions d’euros seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures

Le Ségur de la santé a ainsi prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Ils doivent notamment permettre d’accompagner leur transition numérique, de moderniser les systèmes d’information existants, et de renforcer leur interopérabilité, leur convergence et leur sécurité. Dans ce cadre, 350 millions d’euros seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures.

En  plus  de  ce  montant,  la stratégie nationale pour la cybersécurité, annoncée par le gouvernement le 18  février 2021, a attribué à l’ANSSI une enveloppe budgétaire de 136  millions  d’euros  pour  renforcer celle de l’État.  Un budget déjà dédié auquel 25  millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits  afin de les accompagner dans leur démarche de «  cybersécurisation  ».

Anne-Sophie David