Clara Chappaz, ministre déléguée chargée de l’Intelligence Artificielle et du Numérique, s’est rendue ce mardi 25 février 2025 au matin à l’hôpital André Mignot, au Chesnay (Yvelines). Cette visite intervient alors que le Sénat s’apprête à examiner un projet de loi visant à renforcer la cybersécurité des infrastructures critiques, dont les hôpitaux font partie.
Un hôpital marqué par une cyberattaque en 2022
Le Centre hospitalier de Versailles avait été frappé par une cyberattaque le 4 décembre 2022, obligeant l’établissement à limiter l’accueil des patients et à transférer plusieurs malades vers d’autres structures médicales. Cette attaque, détectée rapidement, avait conduit à la mise en place d’une cellule de crise et à la coupure totale du système informatique, perturbant fortement l’activité de l’hôpital.
L’attaque de Versailles s’inscrivait dans une série de cyberattaques ayant visé plusieurs hôpitaux français en 2022. Parmi les plus marquantes :
• Corbeil-Essonnes (20 août 2022) : attaque par ransomware revendiquée par Lockbit. Une rançon d’1 million de dollars avait été exigée, avec menace de divulgation des données de patients. L’établissement avait été contraint d’utiliser des cahiers pour enregistrer les admissions et le coût total du retour à la normale avait atteint 2 millions d’euros.
• Clinique Léonard de Vinci (7 janvier 2022) : rançon demandée de 500 000 euros.
• Maternité des Bluets, Paris XIIIe (9 octobre 2022) : attaque revendiquée par Vice Society, un groupe de hackers spécialisé dans les établissements de santé.
Les pirates informatiques ciblent ces établissements pour la sensibilité des données qu’ils hébergent et l’impact médiatique que ces attaques peuvent avoir. Certains groupes, comme Vice Society, revendiquent ouvertement ces actions, tandis que d’autres, comme Lockbit, prétendent ne pas s’attaquer aux hôpitaux… avant de trouver des justifications pour contourner cette “règle”.
Un projet de loi pour renforcer la protection des infrastructures critiques
La visite de Clara Chappaz s’inscrit dans le cadre du Projet de loi sur la résilience des infrastructures critiques et la cybersécurité, qui sera examiné au Sénat les 11 et 12 mars 2025. Ce texte vise à renforcer la protection des établissements sensibles contre les cyberattaques et à harmoniser les mesures de cybersécurité en Europe. Il repose sur trois directives européennes :
• Directive REC : renforcement de la résilience des infrastructures critiques, intégrée au Code de la défense.
• Directive NIS2 : amélioration des normes de cybersécurité dans l’Union européenne.
• Directive DORA : protection spécifique du secteur financier contre les cybermenaces.
Une commission spéciale a été mise en place pour examiner ce projet de loi. Présidée par Olivier Cadic, elle a désigné trois rapporteurs pour les différentes thématiques : Hugues Saury, Patrick Chaize et Michel Canévet.
Prochaines étapes du projet de loi
📅 Mardi 4 mars 2025 : Examen du rapport en commission.
📅 Mardi 11 mars 2025 : Examen des amendements en commission.
📅 Mardi 11 et mercredi 12 mars 2025 : Débat en séance publique au Sénat.
Cybersécurité des hôpitaux : un enjeu majeur
Lors de sa visite, Clara Chappaz a échangé avec les équipes hospitalières et les responsables informatiques pour faire le point sur les actions mises en place après l’attaque de 2022. Cette rencontre vise à identifier les défis persistants et à ajuster les mesures législatives en conséquence.
Si le projet de loi prévoit de nouvelles obligations de cybersécurité pour les hôpitaux, les attaques récentes montrent que les pirates s’adaptent rapidement aux nouvelles protections. La question reste donc ouverte : ces nouvelles mesures seront-elles suffisantes pour empêcher une nouvelle vague de cyberattaques ?
Les collectivités face aux failles de sécurité informatique
