Depuis plusieurs mois, notre système de santé fait face à une multiplication des cyberattaques en France (doublement des incidents déclarés par les établissements de santé depuis 2020).
Même si le secteur de la santé n’est pas ciblé directement, l’augmentation de l’usage du numérique, et donc de son exposition, le place au troisième rang des secteurs les plus touchés, après les collectivités territoriales et les TPE/PME/ETI2.
Les ressources compétentes pour la gestion du numérique au sein des établissements sont rares, et la mobilisation d’une enveloppe budgétaire dédiée au volet numérique permettant de répondre aux enjeux de sécurité des systèmes d’information n’est pas encore systématique.
De surcroît, les opportunités de mutualisation et de capitalisation des ressources et des moyens entre plusieurs établissements ne sont pas toujours mobilisées. La dette technologique prend de plus en plus d’ampleur, alors que les usages du numérique foisonnent et que les pirates informatiques se professionnalisent.
Plusieurs incidents ces derniers mois ont eu une résonance médiatique forte.
Les derniers retours d’expérience des établissements attaqués soulignent les impacts sur les organisations et sur la continuité de prise en charge des patients. Ils mettent en lumière les difficultés de devoir travailler en « mode dégradé » sur des périodes parfois extrêmement longues pour l’ensemble des professionnels, les pertes de chance potentielles pour les patients qui nécessitent parfois d’être transférés dans d’autres établissements par exemple. Certains évoquent aussi la détérioration de leur image et de la confiance entre l’établissement et l’usager, par ricochet des éventuels vols de données.
Depuis décembre 2022, la Délégation au numérique en santé (DNS) et l’Agence du Numérique en Santé (ANS) rassemblent et coordonnent l’ensemble des parties prenantes en charge de la cybersécurité pour le secteur au sein de la « Task Force (TF) cyber ». Ainsi chaque semaine, le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des Ministères sociaux, la Direction Générale de l’Offre de Soins (DGOS), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’Agence du Numérique en Santé (ANS), les Agences Régionales de Santé (ARS) et les Groupements Régionaux d’Appui au Déploiement de la e-santé (GRADeS) se mobilisent avec la DNS pour répondre aux enjeux de la priorité 15 de l’axe 4 de la feuille de route du numérique en santé 2023-2027 et renforcer massivement la cybersécurité des établissements sanitaires et médico-sociaux.
L’ensemble des travaux de la Task Force est conduit de manière collaborative avec les acteurs de l’écosystème (fédérations hospitalières et médico-sociales, industriels) et vise à rendre les établissements plus résilients et mieux préparés.
Le programme CaRE « Cybersécurité accélération et Résilience des Établissements » décline ainsi un plan d’action concret et ambitieux pour la période de 2023 à 2027.
Le programme, doté de plus de 230M€ sur 2023-2024, se décline en 4 axes et 20 objectifs :
1. Gouvernance et résilience
2. Ressources et mutualisation
3. Sensibilisation
4. Sécurité opérationnelle
source: communiqué de Presse de la Présentation du programme CaRE - Plan d'actions et synthèse du programme CaRE -
