Voici la stratégie gouvernementale pour lutter contre les cyberattaques visant les hôpitaux

Après plusieurs années d'inertie, l'Etat se décide à prendre des mesures pour sécuriser les réseaux informatiques des établissements de santé en réaction notamment aux deux attaques d'ampleur contre les hôpitaux de Dax et de Villefranche-sur-Saône.

Un budget de 350 millions d'euros
Le ministre des Solidarités et de la Santé Olivier Véran et le secrétaire d'Etat au Numérique Cédric O se sont rendus aujourd'hui à Villefranche-sur-Saône pour détailler leur stratégie. Au total, c'est un budget de 350 millions d'euros qui sera destiné au renforcement de la sécurité informatique des établissements de santé français.

Précision de taille, ce n'est pas une nouvelle enveloppe mais une somme incluse dans le Ségur de Santé, une grande concertation annoncée en mai 2020 visant à refondre le secteur de la santé à la suite des nombreuses défaillances mises en lumière par la pandémie de Covid-19.

Multiplier les audits
En pratique, 25 millions des 136 millions d'euros dédiés au budget l'Agence nationale de la sécurité des systèmes d'information (Anssi) seront consacrés à la réalisation d'audits pour accompagner les établissements de soin dans leur démarché de sécurisation.

Ce financement permettra également d'accélérer le déploiement du "service national de la cyber surveillance en santé" en partenariat avec l'Agence du Numérique en Santé (ANS). Ce dispositif a pour objectif de rechercher et de détecter de façon préventive les vulnérabilités du système d'information d'un hôpital. A l'issue de ces investigations, un rapport est délivré.

Mis en place en 2020, ce service est dans "une phase de montée en charge progressive". Les demandes des 136 Groupements Hospitaliers de Territoires (GHT) sont privilégiées, explique l'ANS sur son site internet. A noter que la France compte plus de 1300 établissements de santé publics, selon les chiffres de l'Institut national de la statistique et des études économiques (Insee). Il reste donc encore beaucoup de travail.

Une aide conditionnée
De plus, aucun projet ne pourra désormais faire l'objet d'un soutien de la part de l'Etat si une part de 5 à 10 % de son budget informatique n'est pas dédiée à la sécurité informatique. Le plan prévoit également l'intégration d'un module "hygiène informatique" dans tous les cursus des acteurs en santé.

Par ailleurs, d'ici trois mois, 135 groupements hospitaliers seront intégrés à la liste des "opérateurs de service essentiels" (OSE). Il s'agit d'un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Cette désignation, décidée par l'Anssi et le Premier ministre, emporte des conséquences sur le niveau de sécurité des systèmes d'information. Dans ce cadre, les Agences régionales de santé (ARS) auront une mission d'accompagnement des établissements.

Un plan insuffisant
Cette nouvelle stratégie, qui s'ajoute au plan national d'un milliard d'euros présenté jeudi dernier, porte pour sa majorité sur un renforcement de la partie "audit". Mais aucun axe ne concerne la mise en oeuvre effective des problèmes recensés lors de ces examens.

Les hôpitaux souffrent en particulier de systèmes informatiques obsolètes. Un fait connu depuis années mais qui ne semble pas être une priorité alors que les cyberattaques explosent. Les hackers profitent également d'un contexte favorable : la pandémie de Covid-19 qui désorganise les établissements de soin.

Sélectionné pour vous

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

A la suite d'un ransomware, la ville de Betton voit ses données publiées

L'assurtech française Stoïk lève 10 millions d'euros pour séduire le marché allemand