Question de M. BAZIN Arnaud (Val-d'Oise - Les Républicains) publiée le 11/03/2021
M. Arnaud Bazin attire l'attention de M. le secrétaire d'État auprès des ministres de l'économie, des finances et de la relance, et de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques sur les questions de cybersécurité que soulève le nouveau piratage de données médicales.
Le 14 février 2021, des journalistes ont retrouvé des fichiers médicaux supposés confidentiels sur différents sites Internet. Après investigation, il est apparu qu'une trentaine de laboratoires situés dans six départements français s'étaient fait voler leurs données par des pirates.
Du fait d'un système de sécurité obsolète, 491 840 personnes ont vu leurs coordonnées (adresse postale, téléphone, mail) ainsi que leur numéro d'immatriculation à la sécurité sociale diffusés et rendus accessibles au grand public. De plus, les dossiers sont accompagnés pour certains d'indications sur le groupe sanguin, le médecin ou la mutuelle, ou encore de commentaires sur l'état de santé détaillé des personnes.
Si ce piratage massif fait actuellement l'objet d'une enquête, le vol de données confidentielles n'est pas un phénomène nouveau. Ces dernières années, les fuites de données bancaires, fiscales ou médicales se sont multipliées en France.
Alors que les données sont devenues un actif stratégique majeur, à l'heure de la numérisation d'une grande partie de l'activité, il est essentiel que le Gouvernement statue sur les questions de souveraineté et de sécurité de nos données sensibles, les piratages actuels révélant les faiblesses.
Il lui demande alors quelles mesures il entend prendre afin de renforcer la cybersécurité, notamment des laboratoires de biologie médicale, pour protéger la vie privée des Français et pour éviter que de telles fuites ne se reproduisent.
- page 1571
Transmise au Première ministre
Réponse du Première ministre publiée le 23/06/2022
Un fichier comportant des données médicales sensibles a effectivement été dérobé à des laboratoires de biologie médicale puis mis en ligne sur internet en février 2021. Ce fichier comprenait des informations personnelles de près de 500 000 patients. À la suite de la révélation de cette divulgation de données personnelles, la section cybercriminalité du parquet de Paris a ouvert une enquête, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), aux chefs « d'accès et maintien frauduleux dans un système de traitement automatisé de données » et « d'extraction, détention et transmission frauduleuse » de ces données. Cette procédure judiciaire étant en cours, les causes de cette fuite de données ne sont pas encore déterminées. La Commission nationale de l'informatique et des libertés (CNIL) s'est également saisie du sujet en appelant les responsables de traitement concernés à procéder à une notification auprès de ses services. Afin d'éviter que de tels incidents se reproduisent, l'ANSSI continue d'appuyer le ministère des solidarités et de la santé dans la sécurisation des systèmes d'information, notamment de ceux en lien avec la gestion de la crise sanitaire. Elle diffuse régulièrement des alertes sur des vulnérabilités ou des incidents susceptibles d'affecter ses systèmes d'information afin que le ministère des solidarités et de la santé puisse les corriger et en informer ses prestataires. De façon plus générale, l'ensemble du secteur de la santé est particulièrement visé par les attaques malveillantes. Le ministère des solidarités et de la santé a donc lancé en 2020, en lien avec l'ANSSI, un plan de renforcement de la cybersécurité des établissements de santé, dont la cybersécurité est une priorité nationale. Dans un premier temps, l'ANSSI a évalué le degré d'exposition des hôpitaux aux cyberattaques et, dans un second temps, leur a apporté son aide pour rehausser leur niveau de sécurité, par des recommandations concrètes. En outre, l'objectif était de produire un « effet de levier » au travers d'actions de sensibilisation et de recommandations sectorielles spécifiques avec une prise de relais, à moyen terme, par des prestataires à même d'accompagner l'ensemble des établissements hospitaliers, très nombreux et aux besoins de cybersécurité très variés. Des outils permettant d'analyser et de mettre en sécurité les réseaux de manière autonome ont été transmis à plusieurs centaines d'établissements de santé et près de 10 établissements de santé d'importance ont bénéficié d'un accompagnement et d'un suivi régulier de l'ANSSI dans l'amélioration de leurs systèmes d'information. Par ailleurs, mi-2021, 102 établissements de santé ont été désignés comme opérateurs de services essentiels. À ce titre, ils doivent désormais se mettre en conformité avec les dispositions d'application de la directive européenne Network and Information Security. Ce projet de renforcement de la cybersécurité des établissements de santé a été poursuivi et renforcé avec le lancement du volet cybersécurité du plan France Relance. Un budget de 136 millions d'euros - augmenté de 40 Millions d'euros en 2022 - a permis à l'ANSSI de mettre en place des parcours de sécurisation, contribuant significativement à l'élévation du niveau de sécurité de la chaîne hospitalière. Ces parcours permettent d'apporter des compétences, via des prestataires de cybersécurité auprès de chaque bénéficiaire pour définir l'état de sécurité de son système d'information et les travaux les plus urgents à réaliser, ainsi qu'un accompagnement méthodologique par l'ANSSI. Ces parcours ouvrent droit à un soutien financier, via une subvention de 140 000 euros par établissement de santé. En mars 2022, 120 établissements de santé étaient engagés dans ces parcours. L'ANSSI a également contribué à l'autonomisation de la chaîne hospitalière pour la sécurisation de ses systèmes d'information en accompagnant la redéfinition des missions et la montée en compétence de la cellule ACSS (cellule d'accompagnement cybersécurité des structures de santé) du ministère de la santé et afin de lui permettre de rejoindre l'association des centres de réponse à incidents de cybersécurité français, l'InterCERT France, en tant que CERT Santé. Enfin, en ce qui concerne la coopération européenne, l'ANSSI échange régulièrement avec ses homologues sur l'état de la menace, en particulier à travers le réseau CSIRTs-Network, constitué par des représentants nationaux des équipes de réponse aux incidents de sécurité informatique (CSIRT) des États membres de l'UE et de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), au sein duquel les membres peuvent coopérer, échanger des informations techniques. En outre, l'exercice cybereurope, programmé en juin 2022, permettra à certains établissements de santé de s'entraîner à la gestion d'une crise de cybersécurité. Il permettra également de tester la coordination européenne dans le contexte d'une telle crise ciblant le secteur de la santé. Le retour d'expérience de cet exercice permettra d'améliorer les mécanismes nationaux et européens dans ce domaine.
- page 2999
Page mise à jour le