Monsieur le sénateur Hingray, les cyberattaques qui touchent les centres hospitaliers sont généralement dues à des rançongiciels.
D'un point de vue préventif, des recommandations sont régulièrement émises par l'Anssi.
De manière complémentaire, des actions de prévention sont également proposées par la gendarmerie. À cet égard, la plus emblématique d'entre elles est le diagnostic opérationnel national cyber, ou Diagonal, qui décline de manière pratique les prescriptions issues de la norme ISO 27001 et du règlement général sur la protection des données, ainsi que les prescriptions de l'Anssi. Ce questionnaire permet à l'entité concernée d'affiner ses connaissances quant à son niveau de maturité cyber et dégager des axes de travail dans une perspective d'amélioration continue. Il y a, certes, un coût financier non négligeable dans la mise en place d'une sécurité informatique robuste, mais il n'en demeure pas moins que cet investissement sera, dans tous les cas, inférieur aux conséquences d'une attaque réussie.
En ce qui concerne la répression, les investigations sont particulièrement longues, parce qu'elles nécessitent systématiquement une coopération internationale. Celle-ci est réelle et efficace, avec toutefois des disparités entre pays partenaires, mais elle engendre des délais de traitement très longs. Lorsque des individus sont identifiés, souvent disséminés à travers le monde, leur interpellation nécessite une coordination de l'ensemble des partenaires. À titre d'exemple, citons l'opération judiciaire menée par la gendarmerie contre le groupe Ragnar Locker à la mi-octobre 2023, qui a nécessité l'engagement de 150 personnes à l'échelon international pour conduire à l'interpellation de quatre personnes, dont une mise en examen en France, et qui prend sa source dans un dossier lancé en 2020.
D'un point de vue judiciaire, les peines sont lourdes, puisque les responsables de telles attaques encourent jusqu'à dix ans d'emprisonnement et 500 000 euros d'amende. Au surplus, détenir sans motif légitime des outils permettant de commettre des attaques informatiques fait encourir jusqu'à sept ans d'emprisonnement et 300 000 euros d'amende.
Voilà les éléments que je souhaitais vous apporter sur ce sujet prégnant et d'actualité.