Une association de patients attaque le Centre hospitalier Sud francilien (CHSF) de Corbeil-Essonnes « quant à sa responsabilité dans le contexte de l’attaque cyber subie par l’établissement et la publication de données sensibles (entre autres, médicales) sur les réseaux par les pirates pour faire pression sur le paiement d’une rançon », révèle DSIH, un site d’information consacré à l’actualité et à l’analyse des systèmes d’information en santé (SIS).
Son billet, intitulé « Quelle responsabilité juridique pour les établissements cyberattaqués ? », tempère cela dit la portée de la plainte :
« Tout d’abord, plainte ne vaut pas culpabilité. En ces temps troublés, dans certains milieux, politiques notamment, une légère tendance à l’amalgame s’installe, mais, jusqu’à preuve du contraire, c’est au juge de déterminer qui est coupable ou pas. Et qui définit aussi ce qu’il retient comme preuve ou pas. Point à la ligne. »
La question reste en effet de savoir si « le réseau du CHSF était aussi troué qu’un gruyère », si « les moyens ont été mis en œuvre, compte tenu de la connaissance des modes d’attaque et des moyens disponibles », ou si ces moyens « n’ont pas été mis en œuvre », alors que de nombreux hopitaux ont été attaqués ces derniers temps :
« Glisser sur une plaque de verglas quand vous êtes au volant, c’est un aléa. Mais glisser sur une plaque de verglas dans une région montagneuse en plein mois de décembre, est-ce toujours un aléa ? Subir une cyberattaque en 2019 (CHU de Rouen), c’est un aléa. Mais subir une cyberattaque en 2022 quand un hôpital par semaine se fait attaquer, est-ce toujours un aléa ? Bref l’expertise technique va être déterminante dans le cas présent, tout comme ce qui sera retenu ou non en tant qu’aléa. »
DSIH estime cela dit que le règlement de cette plainte « risque de donner le ton pour les dix prochaines années » : « c’est souvent à l’occasion d’une plainte que les choses évoluent, tous domaines confondus ».