Buzz e-santé

Pour accélérer la mise à niveau des systèmes d’informations hospitaliers face au cyberattaque et renforcer durablement la résilience des structures de soins, le ministère de la Santé et de la Prévention  a lancé le programme CaRE. Présentation.

La santé connaît un véritable essor des usages numériques, depuis les cabinets libéraux jusqu’à l’hôpital. De fait, les risques de cyber malveillance augmentent aussi. Selon l’ANSSI, le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME. Les signalements réalisés auprès du CERT Santé démontrent que l’état de la menace ne faiblit pas.

Ces derniers mois, des attaques massives ont ciblé certains établissements de santé et ont eu des conséquences directes sur l’organisation des services et la prise en charge des patients. Le retour à la normale peut prendre plusieurs mois et nécessite souvent des investissements importants, humains et financiers, pour les établissements victimes.

Les ressources compétentes pour la gestion du numérique au sein des établissements sont rares, et la mobilisation d’une enveloppe budgétaire dédiée au volet numérique permettant de répondre aux enjeux de sécurité des systèmes d’information n’est pas encore systématique.

Face à cette problématique, un plan d’actions, appelé CaRE « Cybersécurité accélération et Résilience des Établissements », a été dévoilé. Ce programme doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit le double objectif :

• éviter que les attaques aboutissent,
• permettre aux établissements de s’en relever le plus rapidement possible.

Le programme se décline en 4 axes et 20 objectifs :

1. Gouvernance et résilience

Le programme vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS).

2. Ressources et mutualisation

Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements (ES et ESSMS) et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité.

3. Sensibilisation

« La sécurité est l’affaire de tous », le programme nécessite donc un engagement fort de chacune des parties prenantes. Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter.

4. Sécurité opérationnelle

Dans le contexte des attaques actuelles (utilisation de rançongiciels et exfiltration de données par des acteurs professionnalisés), un effort important sur les infrastructures doit être réalisé au sein des établissements.