Depuis 2 ans, le ministère des Solidarités et de la Santé a engagé la mise à niveau de la sécurité des systèmes d’information des établissements de santé. Les récentes attaques contre les établissements de Villefranche-sur-Saône et de Dax démontrent la nécessité d’aller plus loin. Dans le cadre de la stratégie Cyber, présentée le 18 février 2021 par le président de la République, le gouvernement a décidé de renforcer sa stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux. Olivier Véran et le secrétaire d’État chargé de la Transition numérique et des Communications électroniques, Cédric O, se sont rendus à Villefranche-sur-Saône, le 22 février, pour détailler ces annonces.
Le « Ségur de la santé » a prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Ceux-ci doivent, notamment, permettre d’accompagner leur transition numérique, de moderniser les systèmes d’information existants et de renforcer leur interopérabilité, leur convergence et leur sécurité. Dans ce cadre, 350 millions d’euros seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures. En plus de ces crédits, la stratégie nationale pour la cybersécurité annoncée le 18 février a attribué à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) une enveloppe budgétaire de 136 millions d’euros pour renforcer la cybersécurité de l’État. 25 millions d’euros seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits afin de les accompagner dans leur démarche de cybersécurisation.
Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé, estime le ministère des Solidarités et de la Santé. Aussi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État si une part de 5 à 10 % de son budget informatique n’est pas dédiée à la cybersécurité. Parallèlement, la sensibilisation à la cybersécurité sera intégrée dans tous les cursus de formation des acteurs en santé.
Enfin, d’ici 3 mois, 135 groupements hospitaliers français seront intégrés à la liste des « opérateurs de service essentiels ». Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. L’ANSSI sera chargée de contrôler le bon respect de ces règles. Les Agences régionales de santé (ARS) accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.
Sur le même thème voir nos articles :
– « La sécurisation numérique de l’e-administration au niveau local : un objectif sécuritaire autant qu’économique » (15/02/2021)
– Cybersécurité et télétravail : assurer la sécurité des données de la collectivité est impératif (01/02/2021)
– Cyberattaques et Covid-19 : attention à renforcer la sécurité informatique des hôpitaux (22/01/2021)
– L’AMF publie un guide pratique sur la cybersécurité dans les collectivités (04/12/20210)