Comment l'Etat va aider les hôpitaux à se protéger de cyberattaques de plus en plus nombreuses

Hôpital de Dax, de Villefranche-sur-Saône..., les hôpitaux français ont fait l'objet de 27 cyberattaques majeures l'an passé. Des attaques qui ont provoqué la paralysie quasi-complète des infrastructures informatique de ces établissements mettant en danger la santé des patients. Et cette tendance semble se poursuivre cette année.

L'inflation de ces attaques est telle que le gouvernement a décidé d'inclure dans le plan France Relance un dispotif dédié qui sera piloté par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information.

"Face à la forte augmentation des cyberattaques dans ce secteur, il devient indispensable et urgent d’accroître le niveau de sécurité des établissements de santé afin qu’ils continuent d’assurer pleinement leurs missions quotidiennes au service de nos concitoyens et protègent les données médicales", souligne l'agence officielle.

Qui est concerné? Dans un premier temps, le dispositif cible en priorité les établissements principaux des groupements hospitaliers de territoire (GHT) qui à ce jour sont moins protégés que les CHU ou les grands hôpitaux.

Un "parcours de cybersécurité"

Les objectifs? "Concentrer l’effort sur des systèmes d’information bénéficiant à plusieurs entités et permettre à chacun de ces groupements de capitaliser sur la démarche en diffusant auprès de l’ensemble de ses membres les bonnes pratiques de cybersécurité", explique l'Anssi.

En quoi ça consiste? L’agence propose aux établissements de santé une offre de "Parcours de cybersécurité" qui leur permet, après un diagnostic cyber, de se mettre à niveau, notamment au travers de la sensibilisation et de la formation, et de déployer un ensemble de mesures organisationnelles et techniques de cybersécurité. Quatre niveaux de parcours sont proposés: Fondation / Intermédiaire / Avancé / Renforcé.

Il s'agit en fait d'adapter les objectifs et l'accompagnement en fonction du "niveau de maturité de chacun". La mise en œuvre se décline en 3 étapes: "un pré-diagnostic, pour orienter le bénéficiaire vers le parcours le plus adapté ; une phase initiale, afin de mettre en place de premières mesures de sécurisation et d’élaborer une feuille de route complète de renforcement de la cybersécurité ; un ou plusieurs accompagnements complémentaires, afin d’approfondir certaines actions de sécurisation et déployer des solutions de sécurité".

Une enveloppe de 350 millions d'euros

Quel est le coût? Le financement des prestations s’effectue au travers de subventions directes aux établissements de santé principaux de GHT, explique l'Anssi. Dans tous les cas, un co-financement par le bénéficiaire est demandé. On retiendra également que le ministère de la Santé financera une partie de l’effort à travers une enveloppe de 350 millions d’euros.

Dans le même temps, le gouvernement et l'Anssi entendent inclure plus d'hôpitaux dans le régime des Operateurs de Services Essentiels. Ce régime désigne des entreprises dites "essentielles" qui sont donc soumises à des obligations en matière de sécurité informatique. Une centaine d’établissements de santé, notamment les GHT, rejoint aujourd'hui ce régime.

Les CHU (centres hospitaliers universitaires) et les grands hôpitaux font eux partie des Opérateurs d'importance vitale (OIV) qui ont des contraintes de sécurité plus élevées et qui ont l'obligation de protéger leurs réseaux sous peine de sanctions. Ces établissements peuvent recevoir de la part de l'Anssi des systèmes de détection sophistiqués.