Réponse publiée le 22 avril 2025

Bien qu'il soit un important levier de transformation, le déploiement des technologies numériques s'accompagne également de nouveaux risques qu'il convient de maîtriser. Ces risques peuvent avoir une origine malveillante, comme dans le cas d'une cyberattaque, ou accidentelle, comme dans le cas d'une catastrophe naturelle qui endommagerait les infrastructures physiques sur lesquelles reposent les systèmes d'information. Dans tous les cas, les conséquences de tels évènements peuvent s'avérer catastrophiques en raison de l'omniprésence des technologies de l'information et de la communication dans l'ensemble des organisations. Dans le secteur des activités sociales et de santé, le besoin de conservation sur une longue durée des données nécessaires à la gestion des retraites, ou encore le besoin de disponibilité des applications utilisées dans la prise en charge des patients, illustrent bien l'enjeu de maîtrise des risques relatifs au numérique. Dans ce contexte, différents dispositifs existent pour répondre à cet enjeu. Sur le plan réglementaire, la politique de sécurité des activités d'importance vitale a intégré dès 2013 des obligations en matière de sécurité des systèmes d'information applicables aux opérateurs publics et privés identifiés comme indispensables pour la continuité d'activité de la Nation. Cette approche a été étendue à l'échelle européenne en 2016, avec la publication d'une première directive dite NIS, relative à la sécurité des réseaux et des systèmes d'information dans l'Union. Transposée en droit national en 2018, ce texte concerne environ 300 opérateurs fournissant des services essentiels, dont près de la moitié dans le secteur de la santé et de la protection sociale. La même année est entré en vigueur le règlement général sur la protection des données traitant plus spécifiquement de la protection des données à caractère personnel, dont les données des assurés sociaux et les données de santé. Plus récemment, la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique a introduit de nouvelles dispositions concernant le recours aux services d'informatique en nuage pour la conservation des données stratégiques et sensibles des administrations de l'État, de ses opérateurs et de certains groupements d'intérêt public, comme la plateforme des données de santé, face aux risques que font peser les législations non-européennes sur ces données. Différentes actions ont été mises en place, notamment par l'Agence nationale de la sécurité des systèmes d'information, afin d'accompagner les entités concernées par ces réglementations – et de façon générale toute organisation concernée par ces enjeux – dans la sécurisation de leurs systèmes d'information et leur maturation cybersécuritaire. Maîtrisant parfaitement la typologie des menaces pesant sur les systèmes d'information et des moyens permettant de s'en prémunir, l'ANSSI met à la disposition de la population de nombreuses ressources de sécurisation, tant organisationnelles que techniques. Vis-à-vis des enjeux de conservation des données ou de continuité d'activité face à une cyberattaque, l'ANSSI publie par exemple un document de recommandations consacré à la sauvegarde des systèmes d'information, dans lequel figure la règle dite « 3 – 2 – 1 » : 3 copies de la sauvegarde sur 2 supports différents dont 1 hors ligne. L'ANSSI est également amenée à apporter un accompagnement personnalisé aux acteurs de l'administration et aux entités les plus "critiques" dans la sécurisation de leurs systèmes d'information. L'ANSSI a par ailleurs piloté le volet cybersécuritaire du plan France Relance. Ce programme a notamment permis d'apporter un soutien méthodologique et financier à plus de 900 entités publiques parmi les plus vulnérables (collectivités locales, établissements publics ciblés, établissements de santé) via des parcours de cybersécurité comprenant une phase de diagnostic et une phase de mise en œuvre des actions, pour un montant total de 100 millions d'euros. Capitalisant sur ces travaux, l'action du Gouvernement s'intensifie pour faire face à une menace devenue systémique, dans un contexte géopolitique qui ne fait que se dégrader. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité en cours d'examen au Parlement vise à transposer notamment une version révisée de la directive NIS. A l'issue, près de 15 000 organisations, dont de nombreuses entités de l'administration publique et du secteur de la santé, seront incluses dans le champ des acteurs soumis à des obligations légales en matière de sécurité des systèmes d'information (incluant des mesures de protection physique des infrastructures sous-jacentes). Dans ce contexte, l'ANSSI adapte son offre d'accompagnement au volume et à la nature des acteurs concernés. Le lancement récent de la plateforme « MesServicesCyber », visant à rendre accessibles au plus grand nombre les ressources et services de l'ANSSI, participe notamment au changement d'échelle devenu indispensable pour répondre efficacement aux risques liés au numérique. L'ANSSI s'est également vu confier de nouvelles missions de contrôle et de supervision de la mise en œuvre de la nouvelle législation. Enfin l'action de l'ANSSI en tant qu'autorité nationale de cybersécurité a également vocation à s'appuyer sur des relais indispensables, publics et privés, au sein des secteurs d'activité et des territoires. Dans le secteur de la santé, le ministère de la santé a ainsi fourni à un appui important à la cybersécurité des établissements de santé via le plan « CaRE ». Lancé en 2024, un premier volet de ce plan ciblant les principales vulnérabilités des systèmes d'information hospitaliers, doté d'une enveloppe de 65 millions d'euros, a déjà permis de réaliser des progrès importants. Un second volet, consacré à la résilience des établissements de santé, doit être lancé en 2025. Ce type d'initiative illustre l'enjeu d'une réponse collective et coordonnée face à une cybermenace en perpétuelle évolution.