Actualité

Un plan d’action pour protéger les hôpitaux face à la cybercriminalité

Cyberattaque Cybersécurité ESMS Hôpital Piratage Protection des données personnelles Sécurité informatique

Publié le 29 décembre 2023 à 9h30 - par Rédaction Weka

Le gouvernement a présenté, mi-décembre, le plan CaRE visant à renforcer la cybersécurité des établissements de santé et médico-sociaux.

Un plan d'action pour protéger les hôpitaux face à la cybercriminalité

Pour tout comprendre

Cybersécurité : prévenir les attaques contre le système d’information hospitalier

La cybersécurité en établissements de santé, sociaux et médico-sociaux

Cet article fait partie du dossier :

Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics

Voir le dossier

Depuis de nombreux mois, le système de santé fait face à une multiplication des cyberattaques. Le nombre des incidents déclarés par les établissements de santé a ainsi doublé depuis 2020 ! Aurélien Rousseau, alors encore ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé du Numérique, se sont donc rendus, le 18 décembre 2023 au centre hospitalier de Versailles, afin de présenter l’action du ministère de la Santé et de la Prévention pour protéger les établissements de santé face à la menace cyber et revenir sur l’impact de l’attaque subie par cet établissement le 3 décembre 2022.

Durant plusieurs mois, un groupe de travail dédié, réunissant des experts, a préparé un plan d’action « sans précédent » pour renforcer la cybersécurité des établissements de santé et médico-sociaux. Fruit de ces travaux, le programme CaRE, pour « Cybersécurité accélération et Résilience des Établissements », propose « un plan d’action concret et ambitieux pour la période de 2023 à 2027 ». Doté de plus de 230 millions d’euros pour la période 2023-2024, sur un objectif d’investissement total de 750 millions d’euros d’ici 2027, le programme se décline en quatre axes et 20 objectifs.

Gouvernance et résilience

Le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire « claire et unique », orchestrée par la Délégation au numérique en santé (DNS). Les enjeux de cybersécurité et la gouvernance associée doivent être pris en compte par les établissements, insiste le ministère de la Santé et de la Prévention. Ces derniers doivent pouvoir s’approprier, décliner et déployer le programme CaRE au cœur de leur projet d’établissement et le rendre visible au travers de leurs choix stratégiques et budgétaires. Il convient, notamment d’engager les établissements de santé et médico-sociaux dans une démarche d’auto-évaluation et d’orientation de leur feuille de route cyber.

Ressources et mutualisation

Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements, tant sanitaires que médico-sociaux, et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité. Des travaux sur l’attractivité et la fidélisation des compétences sont en cours. En attendant, le programme encourage toutes les opportunités de convergence et de mutualisation en cherchant, autant que possible, à capitaliser et à embarquer l’ensemble des structures.

Sensibilisation

La sécurité étant l’affaire de tous, le programme CaRE nécessite un engagement fort de chacune des parties prenantes. « Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter », invite le ministère. Les directions d’établissement, en tant que décideurs, doivent, quant à elles, être garantes de la sensibilisation du personnel et de l’application des bonnes pratiques d’hygiène informatique au sein de leurs structures.

Sécurité opérationnelle

Dans le contexte des attaques actuelles, un effort important doit être réalisé pour soutenir les établissements de santé dans les domaines identifiés comme prioritaires pour faire face à la cybermenace. À cet effet, il convient, notamment, de :

Maîtriser les risques d’exposition sur internet et sécuriser les annuaires d’établissement ;
Superviser les postes de travail et détecter les intrusions ;
Sécuriser les accès au système d’information (SI) depuis l’extérieur (télémaintenance) ;
Reconstituer rapidement les services critiques en cas d’incident.

Enfin, le programme préconise vivement d’intégrer la cybersécurité dans l’élaboration des référentiels sectoriels pour toutes les solutions utilisées par les établissements de santé et médico-sociaux, et par les professionnels de santé.

Enfin, dès cette fin d’année 2023, le ministère de la Santé et de la Prévention a annoncé un premier appel à projets, doté de 60 millions d’euros, qui permettra aux établissements de financer des plans dits de « remédiation cyber », afin de répondre aux failles exploitables par les attaquants et ainsi de réduire le risque d’intrusion et la diffusion des logiciels malveillants dans le système d’information de l’établissement.

On vous accompagne

Retrouvez les dernières fiches sur la thématique « Santé »