Question de M. HINGRAY Jean (Vosges - UC) publiée le 26/10/2023

M. Jean Hingray attire l'attention de M. le ministre de l'intérieur et des outre-mer sur la situation des hôpitaux de Vittel et de Neufchateau, victimes d'une cyberattaque.

Le samedi 7 octobre 2023, les hôpitaux du centre hospitalier de l'ouest vosgien ont été victimes d'une cyberattaque.

Celle-ci a eu pour conséquence d'entraîner une suspension des activités programmées, consultations, interventions chirurgicales.
L'impact que peut avoir la mise à l'arrêt d'un centre hospitalier sur la santé des patients dont il a la charge est bien connu.

La multiplication de ce type d'événements démontre que le dispositif pénal de lutte contre la survenance est insuffisamment doté, que cela soit en termes de prévention ou de répression.

Par conséquent, il lui est demandé quelles mesures il compte prendre pour résoudre ce grave problème qui compromet la santé et la sécurité des Français.

- page 5987


Réponse du Ministère auprès du ministre de l'intérieur et des outre-mer et du ministre de la transition écologique et de la cohésion des territoires, chargé des collectivités territoriales et de la ruralité publiée le 01/11/2023

Réponse apportée en séance publique le 31/10/2023

M. le président. La parole est à M. Jean Hingray, auteur de la question n° 866, adressée à M. le ministre de l'intérieur et des outre-mer.

M. Jean Hingray. Le 7 octobre dernier, les hôpitaux de Vittel et de Neufchâteau ont été victimes d'une cyberattaque. Celle-ci vient gonfler des chiffres déjà alarmants : l'hôpital paie un prix très élevé pour l'accélération de la numérisation, alors que son outil numérique est mal sécurisé.

En 2021, 730 établissements de santé ont été victimes de cyberattaques. L'objectif des hackers est évident : collecter des données, devenues ultralucratives, ou, pour certains d'entre eux, déstabiliser nos systèmes de santé.

Alors que l'informatique prend chaque jour une place de plus en plus importante dans notre système de soins, ces piratages deviennent très inquiétants. À Vittel et à Neufchâteau, ils ont entraîné la suspension des activités programmées, des consultations et des interventions chirurgicales. Certains services n'ont pas encore pu être rétablis et les hôpitaux sont revenus au « tout papier ». Une question évidente se pose : comment bien soigner un patient dont les antécédents médicaux sont stockés dans une machine à laquelle on n'a plus accès ?

En 2021, la stratégie de cybersécurité pour les établissements de santé et les établissements médico-sociaux s'est renforcée avec une enveloppe de 350 millions d'euros. Cela reste insuffisant au regard de la vulnérabilité de nos hôpitaux face à une telle menace. Les hackers se faufilent sans peine dans un dispositif de défense trop morcelé, dans lequel coexistent de nombreux services : une plateforme d'assistance pour accompagner les victimes - www.cybermalveillance.gouv.fr -, le commandement de la gendarmerie dans le cyberespace pour lutter contre la criminalité et l'Agence nationale de la sécurité des systèmes d'information (Anssi), qui pilote la stratégie de défense et de sécurité des systèmes d'information de notre pays.

Comme en matière sportive, ce n'est pas parce que l'on défend à trois que l'on est sûr d'empêcher l'attaquant de s'approcher de ses cages...

Que compte faire le Gouvernement pour lutter contre ces cyberattaques ?

M. le président. Veuillez conclure.

M. Jean Hingray. Et quel budget compte-t-il allouer à cette question en 2024 ?

M. le président. La parole est à Mme la ministre déléguée.

Mme Dominique Faure, ministre déléguée auprès du ministre de l'intérieur et des outre-mer et du ministre de la transition écologique et de la cohésion des territoires, chargée des collectivités territoriales et de la ruralité. Monsieur le sénateur Hingray, les cyberattaques qui touchent les centres hospitaliers sont généralement dues à des rançongiciels.

D'un point de vue préventif, des recommandations sont régulièrement émises par l'Anssi.

De manière complémentaire, des actions de prévention sont également proposées par la gendarmerie. À cet égard, la plus emblématique d'entre elles est le diagnostic opérationnel national cyber, ou Diagonal, qui décline de manière pratique les prescriptions issues de la norme ISO 27001 et du règlement général sur la protection des données, ainsi que les prescriptions de l'Anssi. Ce questionnaire permet à l'entité concernée d'affiner ses connaissances quant à son niveau de maturité cyber et dégager des axes de travail dans une perspective d'amélioration continue. Il y a, certes, un coût financier non négligeable dans la mise en place d'une sécurité informatique robuste, mais il n'en demeure pas moins que cet investissement sera, dans tous les cas, inférieur aux conséquences d'une attaque réussie.

En ce qui concerne la répression, les investigations sont particulièrement longues, parce qu'elles nécessitent systématiquement une coopération internationale. Celle-ci est réelle et efficace, avec toutefois des disparités entre pays partenaires, mais elle engendre des délais de traitement très longs. Lorsque des individus sont identifiés, souvent disséminés à travers le monde, leur interpellation nécessite une coordination de l'ensemble des partenaires. À titre d'exemple, citons l'opération judiciaire menée par la gendarmerie contre le groupe Ragnar Locker à la mi-octobre 2023, qui a nécessité l'engagement de 150 personnes à l'échelon international pour conduire à l'interpellation de quatre personnes, dont une mise en examen en France, et qui prend sa source dans un dossier lancé en 2020.

D'un point de vue judiciaire, les peines sont lourdes, puisque les responsables de telles attaques encourent jusqu'à dix ans d'emprisonnement et 500 000 euros d'amende. Au surplus, détenir sans motif légitime des outils permettant de commettre des attaques informatiques fait encourir jusqu'à sept ans d'emprisonnement et 300 000 euros d'amende.

Voilà les éléments que je souhaitais vous apporter sur ce sujet prégnant et d'actualité.

- page 7773

Page mise à jour le