Le monde de la santé, français et à l’étranger, est perturbé par un nombre croissant d’attaques informatiques aux conséquences parfois désastreuses pour leurs activités et patientèle : impossible accès aux dossiers des patients, paralysie de l’approvisionnement en oxygène des chambres, perte de contrôle du robot-chirurgical, impossibilité d’accéder aux plannings des soignants, intrusion pour une prise de contrôle malveillant des pacemakers, verrouillage des accès aux blocs opératoires, paralysie des instruments d’analyses médicales et de mesure de rythme cardiaque ou pression sanguine, désorganisation complète des services [1].
En 2021, le nombre de cyberattaques ayant visé des établissements de santé a atteint le nombre de 730 sur 582 établissements, contre 369 déclarations d’incident en 2020, selon Marc Loutrel, le directeur de l’expertise et de l’innovation à l’Agence numérique de santé (ANS) (Voir l’article Les cyberattaques des établissements de santé et la protection des données. Par Debora Cohen, Avocat.). Le dernier en date sur le territoire française porte sur une l’attaque du centre hospitalier Sud Francilien de Corbeil-Essonnes par le groupe de hackers russophones Lockbit 3.0.
Les cyberattaques documentées à ce jour sont très variables quant à leur catégorie, typologie et par extension qualification pénale :
- Saturation des sites internes, outils de communication et serveurs baptisée « attaque DDoS » ou « déni de service » [2] ;
- Modification des supports de communication pour une propagande politique, humoristique ou haineuse ;
- Chiffrement des données informatiques après intrusion illicite et extorsion de sommes d’argent baptisée « Rançongiciel » [3] ;
- Vol et/ou perte de données après intrusion.
Au regard du droit pénal, l’incrimination principale retenue pour la plupart de ces situations est celle d’entrave à un système de traitement automatisé de données (STAD ou système d’information), réprimée par les articles 323-1 et suivants du Code pénal, prévoyant notamment des circonstances aggravantes, la plupart des établissements étant publics : Article 323-1 du Code pénal :
« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 euros d’amende.
Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.
Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 150 000 euros d’amende ».
Article 323-2 du Code pénal : « Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende ».
Les tentatives de ces infractions sont passibles des mêmes peines.
Dans le cas où des rançons sont demandées, la qualification d’extorsion définie à l’article 312-1 du Code pénal est également envisageable :
« L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque ».
L’extorsion est passible de sept ans d’emprisonnement et de 100 000 euros d’amende.
L’enjeu majeur porte généralement sur la difficulté quant à l’identification des auteurs des attaques, souvent étrangers et structurés en réseau, à partir des éventuelles traces laissées lors de leurs opérations. Des opérations d’enquête et d’arrestation sont entreprises, parfois avec succès.
En pratique, plusieurs professionnels formulent des recommandations à la fois techniques et juridiques pour prévenir ou réagir efficacement en cas d’attaque [4] : protection des données notamment au regard des normes en matière de données personnelles (Art 9 et 32 du RGPD), la documentation de la cyberattaque (nature, catégories de données et personnes visées, conséquences, mesure de PCA/PRA, etc.), l’information des autorités judiciaires et indépendantes (CNI) notamment par le dépôt de plainte incluant la ou les infractions identifiées.
Egalement, les justiciables sont également victimes collatérales de ces attaques informatiques. Le droit français ne reconnaissant pas les actions collectives, les victimes du vol de données issus d’attaques informatiques d’hôpitaux peuvent porter plainte individuellement, faisant valoir les préjudices subis - patrimoniaux et moraux du fait de cette violation. La constitution d’associations de victimes, la mobilisation de la CNIL en la matière peuvent faciliter une fois l’identité des responsables civiles et pénales leur condamnation aux indemnisations pertinentes [5].
Déjà saisie par la brigade de lutte contre la cybercriminalité du parquet de Paris, les infractions envisagées portent sur l’accès et maintien dans un Système de Traitement Automatisé de Données (STAD), extraction frauduleuse de données d’un STAD et collecte frauduleuse de données à caractère personnel.
