Phénomène grandissant des cyber-attaques sur un nombre croissant d'organismes publics ou privés

Question écrite

Question écrite n°02118 - 17^e législature

Les informations clés

Auteur de la question

BAZIN Arnaud

Type de question

Question écrite

Ministre interrogé(e)

Mme la ministre de la santé et de l'accès aux soins

Question réattribuée à

M. le ministre auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins

Date(s) de publication

Question publiée le 31/10/2024
Réponse publiée le 03/04/2025

Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 31/10/2024

M. Arnaud Bazin attire l'attention de Mme la ministre de la santé et de l'accès aux soins sur le phénomène grandissant des cyber-attaques sur un nombre croissant d'organismes publics ou privés.

Comme le note un récent communiqué de l'Académie nationale de médecine, en date du 10 octobre 2024, « Les attaques des systèmes informatiques des hôpitaux mettent en danger la vie des patients », il apparait que les cyber-attaques perpétrées dans un but de vandalisme ou de déni de service, ou pour exiger une rançon posent une sérieuse question d'ordre public.

En France, en 2021, 1 582 établissements de santé ont été victimes d'une attaque, soit un établissement sur six, deux fois plus qu'en 2020. En 2023, les plus grands hôpitaux publics ont été ciblés dont celui de la Pitié-Salpêtrière et Saint-Antoine à Paris.

Ces cyber-attaques mettent en danger la vie des patients en perturbant de manière notable le fonctionnement et la prise en charge des urgences ; elles portent également atteinte du bon fonctionnement de dispositifs d'assistance vitale.

L'Académie nationale de médecine a donc proposé certaines pistes comme la nécessité de documenter les impacts sanitaires de ces attaques sur les patients pris en charge ou en attente de prise en charge ou encore l'indispensable sensibilisation et formation aux risques des cyber-attaques pour tous les professionnels de santé usant du numérique dans les établissements de santé.

Il lui demande donc si elle entend suivre ces préconisations.

Publiée dans le JO Sénat du 31/10/2024 - page 4250

Transmise au Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins

Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 03/04/2025

Les recommandations de l'Académie nationale de médecine rejoignent pour la plupart d'entre elles des actions déjà abordées dans le cadre des programmes nationaux, notamment le programme CaRE. La formation au numérique en santé, dont la cybersécurité, fait désormais partie de la formation initiale de tous les cursus de santé, et la sensibilisation des professionnels en activité fait partie des exigences de la certification délivrée par la haute autorité de santé (critère 3.6-02). La formation des agents des services informatiques à la cybersécurité (au-delà de ce qui est demandé pour l'ensemble des personnels) est un sujet bien identifié, mais dont la mise en oeuvre est rendue complexe par la diversité des compétences techniques et des risques associés. La mutualisation de ressources expertes mises à disposition de l'établissement est une disposition qui semble souvent plus pertinente, et c'est celle qui a conduit à la création des centres régionaux de ressources cyber en 2024. La question de la formation des personnes techniques reste cependant d'actualité, et sera traitée quand les conclusions sur le dimensionnement des équipes informatiques des établissements auront été rendues par l'agence nationale d'appui à la performance des établissements de santé et médico-sociaux, courant 2025. La préparation des établissements aux crises cyber a été largement soutenue depuis 2023, à travers plusieurs instructions demandant aux établissements de réaliser des exercices de crise : une grande majorité d'entre eux a répondu à cette injonction entre 2023 et 2024, notamment grâce à un financement fléché de 10 Meuros en 2023. Une instruction parue le 17 février 2025 rend cet exercice annuel. D'autre part, des kits de préparation des plans de continuité et de reprise d'activité ont été développés par l'agence du numérique en santé, et leur déploiement sur le terrain va être soutenu par un appel à financement, dont la publication est prévue à la fin du mois de mars 2025. Enfin, le caractère pénal des cyberattaques est bien reconnu, même si malheureusement peu d'entre elles aboutissent à une mise en examen. Un renforcement des moyens d'identification et de poursuite des criminels a été évoqué au niveau européen, et nous attendons des détails sur sa mise en oeuvre pour déterminer si une déclinaison sectorielle est opportune dans le secteur de la santé. La documentation des impacts sanitaires individuels est plus complexe à mettre en évidence au déclenchement de l'incident (en dehors de la mise en danger immédiate des patients). En effet, les impacts (notamment d'un retard de prise en charge) peuvent apparaître très tardivement.

Publiée dans le JO Sénat du 03/04/2025 - page 1619

Page mise à jour le 4 avril 2025

Phénomène grandissant des cyber-attaques sur un nombre croissant d'organismes publics ou privés

Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 31/10/2024

Réponse du Ministère auprès de la ministre du travail, de la santé, de la solidarité et des familles, chargé de la santé et de l'accès aux soins publiée le 03/04/2025

Dernières questions publiées

Réponses aux questions écrites : le palmarès des ministres

Contrôle et évaluation

Open Data