Question de Mme LERMYTTE Marie-Claude (Nord - Les Indépendants) publiée le 03/10/2024
Mme Marie-Claude Lermytte attire l'attention de M. le ministre de l'intérieur à propos des cyber-attaques dont ont été victimes certaines plateformes de tiers-payant auprès des opticiens.
Ces plateformes assurent la gestion du tiers-payant pour des organismes complémentaires d'assurance maladie ; il est évoqué plus de 33 millions de dossiers de patients piratés.
Or la transmission des données de santé des assurés est un préalable au remboursement des frais d'optique.
Si la commission nationale de l'informatique et des libertés (CNIL) explique que seules les données nécessaires au traitement des dossiers seraient concernées, il n'empêche que les cyber-attaques ne cessent de se multiplier.
La nécessité de trouver des parades a fait l'objet d'une concertation entre le ministère de la santé, la caisse nationale d'assurance maladie, la CNIL, les professionnels des assurances et des opticiens représentés par leur fédération.
Ces négociations sont entamées depuis quatre ans et sont interrompues depuis un an.
Tous les acteurs sont donc soucieux de relancer les discussions avec les services du ministère. Elle lui demande si ces négociations seront relancées et dans quel délai.
- page 3475
Transmise au Ministère de l'intérieur
Réponse du Ministère de l'intérieur publiée le 17/04/2025
La mise en place des dispositifs de sécurisation des systèmes et de protection des données relève de l'ANSSI, service du Premier ministre, qui est l'autorité nationale en matière de cybersécurité, notamment concernant les infrastructures numériques publiques et privées les plus critiques. Aussi, dans ce domaine, l'action des services du ministère de l'intérieur s'inscrit dans la politique globale de l'agence nationale de la sécurité des systèmes d'information (ANSSI) et s'associe aux éléments de prévention largement diffusés auprès des professionnels et établissements de santé. Dans la lutte contre les cyber-attaques visant l'extorsion de données (rançongiciels et attaques en déni de service), le rôle de veille et d'analyse du COMCYBER-MI vient compléter les actions menées par les forces de sécurité intérieure (unité nationale cyber de la gendarmerie et office anti-cybercriminalité de la police nationale) en matière de prévention, de diagnostic, d'investigations de pointe et d'expertise. Le secteur de la santé est en effet particulièrement visé par des cyberattaques dont la motivation est principalement financière. Le commandement du ministère de l'intérieur dans le cyberespace (COMCYBER-MI) a ainsi détecté, en 2024, vingt-deux attaques visant principalement des établissements de santé, des pharmacies et plus rarement des praticiens. Il s'agit alors majoritairement d'attaques par rançongiciels, visant le blocage du système d'information et la menace de diffusion de données volées jusqu'au paiement d'une rançon, ou de vols et de diffusion de données de patients. Dans le secteur de l'optique, seule une attaque mineure par "déni de service distribué" a été détectée à l'encontre du site internet d'une marque d'opticien. Il n'existe pas de bases de données spécifiques aux soins ou à la prise en charge en matière ophtalmologique. Au contraire, les opérateurs assurant la gestion de tiers payant auprès des mutuelles de santé recherchent souvent une mutualisation de leurs plateformes d'hébergement de données de santé. Ces dernières font régulièrement l'objet de fuites. L'exploitation des bases judiciaires permet dans ce domaine d'identifier une fuite de données massive visant deux opérateurs survenue en janvier 2024. Par le biais d'un mode opératoire sophistiqué, les cybercriminels ont pu exfiltrer des données concernant 33 millions d'assurés (état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur santé). Cette attaque vise principalement à partager ou à proposer à la vente ces données auprès de groupes cybercriminels spécialisés dans les escroqueries massives en ligne. Complément de la DSS Toute entité publique comme privée qui met en oeuvre un traitement de données à caractère personnel est soumise aux obligations du règlement général sur la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1918 relative à l'informatique, aux fichiers et aux libertés. Ce cadre juridique complet suppose que lorsque cette entité fait appel à un sous-traitant pour effectuer tout ou partie des opérations de traitement, elle doit conclure un contrat de sous-traitance. Celui-ci définit les missions du prestataire, ses obligations en matière de sécurité et de confidentialité des données exploitées et enfin les règles applicables en cas de fuite de données (modalités de notification de la Commission informatique et libertés, CNIL, et d'information des personnes concernées). Il revient à la CNIL de mener des investigations, à la suite de la notification d'une fuite de données, afin de déterminer si les mesures de sécurité mises en oeuvre par les opérateurs de tiers-payant préalablement à l'incident et en réaction à celui-ci sont appropriées au regard de leurs obligations. En cas de manquement, la CNIL appliquera les procédures et les peines prévues non seulement par la loi informatique et libertés mais par le code pénal. Concernant l'attaque elle-même, une enquête a été confiée à la Brigade de Lutte Contre la Cybercriminalité de la Préfecture de Police de Paris. Le ministère de l'Intérieur a mis en place un formulaire en ligne sur son site (www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys) afin de faciliter le dépôt de plainte des personnes concernées par la fuite. Le ministère chargé de la santé et de la sécurité sociale est particulièrement vigilant en matière de cybersécurité et de protection de la vie privée. Par un courrier en date du 22 mai 2024, la ministre a rappelé aux opérateurs de la protection sociale l'importance de garantir la sécurité des données des assurés. Un comité de pilotage ministériel a été mis en place pour veiller à la bonne prise en compte des enjeux de sécurité numérique.
- page 1933
Page mise à jour le