Cyberattaques contre les hôpitaux : les députés envisagent des sanctions terroristes et des poursuites pour homicide

Des propositions radicales pour lutter contre les ransomwares hospitaliers

Lors d’une audition mardi au Congrès américain, des législateurs ont exploré des moyens de durcir les peines contre les attaques par ransomware visant les hôpitaux. Parmi les idées avancées : qualifier ces attaques de crimes terroristes ou engager des poursuites pour homicide lorsque des décès surviennent.

Deux pistes majeures examinées

• Qualification terroriste : Traiter les ransomwares comme des actes terroristes, une proposition déjà évoquée par le Congrès par le passé.
• Poursuites pour homicide : Inciter les procureurs à engager des poursuites pour homicide dans les cas où des patients décèdent à la suite d’une attaque, une approche envisagée par les autorités allemandes en 2020.

Cynthia Kaiser, ancienne responsable cyber du FBI, a défendu ces deux idées lors d’une réunion conjointe des sous-commissions sur la sécurité des frontières, l’application de la loi et la cybersécurité. Ses propositions ont suscité l’intérêt des membres du Congrès.

« Je crois qu’il n’y a pas de peine trop sévère pour les individus qui ciblent notre système de santé. »

Ces propositions s’inscrivent dans un contexte où les attaques par ransomware contre le secteur médical ont doublé, passant de 238 en 2024 à 460 en 2025 selon le FBI, faisant de la santé le secteur le plus ciblé.

Des sanctions renforcées et des clarifications juridiques

Kaiser, désormais vice-présidente senior du centre de recherche Halcyon sur les ransomwares, a souligné que la qualification terroriste par les départements d’État, du Trésor et de la Justice pourrait entraîner des sanctions supplémentaires, des restrictions de voyage et d’autres mesures punitives. Elle a également plaidé pour des directives du ministère de la Justice clarifiant l’application des poursuites pour homicide dans ces cas.

« Il semble que le cadre juridique existe, mais il n’a pas encore été appliqué dans ces circonstances. »

Un débat qui s’inscrit dans une stratégie nationale

L’idée de renforcer le lien entre cyberattaques et terrorisme est examinée à la fois par le Congrès et l’exécutif. Le projet de loi d’autorisation du renseignement du Sénat pour 2025 prévoyait initialement de lier explicitement les ransomwares au terrorisme, bien que la version finale adoptée soit moins explicite. Par ailleurs, le Trésor américain a récemment sollicité des retours sur l’adaptation d’un programme d’assurance contre les risques terroristes pour couvrir les pertes liées aux cyberattaques.

Une étude de l’Université du Minnesota en 2023 estimait que les attaques par ransomware contre les hôpitaux avaient causé la mort de dizaines de patients Medicare. En Allemagne, en 2020, une enquête pour homicide par négligence avait été ouverte après un décès lié à une attaque, avant d’être abandonnée.

La stratégie cyber nationale de l’administration Trump prône une approche offensive contre les pirates informatiques, avec un décret exécutif sur la cybercriminalité et la fraude publié le même jour. Kaiser a indiqué que ses propositions s’alignent sur cette stratégie.

« Les pirates savent que leurs attaques peuvent tuer. Ils ont simplement décidé que ces morts étaient le problème de quelqu’un d’autre. »