“Le prochain virus qui neutralisera la planète pourrait bien être numérique.” C’est l’avertissement lancé par la Fédération hospitalière de France (FHF). Proies faciles pour les hackers, les établissements de santé affrontent une augmentation des cyberattaques en plus de la pandémie de Covid-19. Lundi 22 février, le gouvernement a dévoilé de nouvelles mesures pour renforcer la sécurité des hôpitaux.
“Un établissement de santé est victime chaque semaine d’une cyberattaque”
Plus tôt en février, à moins d’une semaine d’intervalle, les centres hospitaliers de Villefranche-sur-Saône (Rhône) et de Dax (Landes) subissaient des intrusions sur leurs systèmes informatiques. Leur cas est loin d’être isolé. “Depuis le début de l’année 2021, un établissement de santé est victime chaque semaine d’une cyberattaque”, révèle Olivier Véran, ministre des Solidarités et de la Santé, en déplacement à l’établissement de Villefranche-Sur-Saône le 22 février.
Face à cette guérilla numérique, l’État annonçait (enfin) le 17 février un investissement de 1 milliard d’euros pour muscler la filière cybersécurité française. Une part de ce plan va être plus précisément dédiée aux hôpitaux. “25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits pour les accompagner dans leur démarche de cybersécurisation”, précise le gouvernement le 22 février. Ces audits seront notamment réalisés par l’Agence nationale de la sécurité des systèmes d'information (Anssi).
Le gouvernement a aussi rappelé l’investissement de 2 milliards d’euros qu’il avait annoncé en juillet 2020 pour soutenir la transformation numérique des hôpitaux. Dans cette somme, 350 millions d’euros ont été consacrés au renforcement de la cybersécurité. Outre ces investissements, l’exécutif mentionne une sensibilisation à la cybersécurité “intégrée dans tous les cursus de formation des acteurs en santé”.
Des aides... et de nouvelles exigences
La stratégie du gouvernement va également se traduire par de nouvelles exigences… La cybersécurité devra désormais peser 5 à 10 % dans le budget des projets de systèmes d’information des établissements de santé s’ils veulent recevoir un soutien public. “Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement”, argumente l’État.
Le gouvernement souhaite également ajouter sous trois mois 135 groupements hospitaliers dans la liste des “opérateurs de service essentiels”. Autrement dit, ils devront respecter des règles de sécurité informatique plus strictes sous le contrôle de l’Anssi. “Les Agences régionales de santé accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations”, rassure le gouvernement.
