Cybersécurité

Le programme CaRE : un nouveau levier pour la cybersécurité des établissements de santé

Deux soignants s'échangent une tablette tactile

Renforcer la cybersécurité des établissements de santé avec le programme CaRE

Dans un contexte d’intensification de la cybermenace au sein des établissements de santé, les acteurs du secteur doivent agir : 588 cyberattaques ont visé des établissements français de santé, en 2022, selon la CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques).

Défrayant fréquemment la chronique, un tiers d’entre eux ont déclenché un mode dégradé des établissements, avec des impacts sur l’expérience patient.

Pour les aider à mieux se protéger, le gouvernement a mobilisé des financements importants et déployé le programme CaRE (Cybersécurité accélération et Résilience des Établissements). Décliné en plan pluriannuel de 2023 à 2027, ce programme s’appuie sur des financements ponctuels et annuels. Il propose également une offre de services visant à coordonner les actions nationales et régionales en matière de cybersécurité.

L’objectif majeur du programme CaRE est d’engager les directions d’établissements, les Présidents de Commission Médicales d’Établissements, et l’ensemble des professionnels de la santé dans une démarche proactive de renforcement de la cybersécurité.

Pour mieux armer les agents du secteur contre les cyberattaques, il faut être capable de sensibiliser et former tous les types de profils. Le programme CaRE s’engage à inclure les établissements médico-sociaux dans un plan d’action aligné sur leur feuille de route sanitaire. Le gouvernement français travaille activement à la création d’un solide écosystème de cybersécurité pour assurer la confidentialité, l’intégrité et la disponibilité des données de santé, dans un monde numérique qui évolue en permanence !

Le programme CaRE se décline en 4 axes majeurs :

  1. Gouvernance et résilience
  2. Ressources et mutualisation
  3. Sensibilisation
  4. Sécurité opérationnelle

Intégrer la cybersécurité à la gouvernance des établissements de santé

L’axe « Gouvernance et résilience » vise une gouvernance durable impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements, industriels). Cette trajectoire claire et singulière est coordonnée par la Délégation au numérique en santé (DNS).

Les enjeux de cybersécurité et la gouvernance associée doivent être intégrés par les établissements, pour qu’ils puissent mettre en œuvre le programme CaRE et le décliner en fonction de leurs singularités. Cette intégration va naturellement impacter leurs choix stratégiques et budgétaires.

Quand ils sont visés par des cyberattaquants, les établissements doivent parfois consacrer des semaines et des mois à la restauration de leur niveau d’activité pré-crise. Cette période de lutte et d’incertitude peut également entraîner des répercussions significatives sur la santé mentale des agents de santé, générant du stress, un traumatisme et d’autres troubles psychologiques. Le processus de guérison après une attaque peut donc prendre du temps, allant au-delà de l’aspect financier et de l’argent à dépenser pour réparer les dommages matériels.

Ainsi, la résilience des établissements face aux incidents cyber et/ou numériques représente un enjeu clé du programme CaRE. Incitant les établissements à incorporer les enjeux de cybersécurité dans leur gouvernance, le programme vise à accélérer la modernisation des systèmes d’informations hospitaliers, le tout pour renforcer de manière durable la résilience des structures de soins.

Mobiliser et mutualiser les ressources pour mieux lutter contre les cybermenaces

Le programme CaRE tient compte de la pénurie de talents et de ressources dans les établissements de santé (ES) et les établissements sociaux et médico-sociaux (ESSMS).

Il met en lumière la nécessité de s’attarder sur les compétences et leur pérennisation dans les domaines du numérique et de la cybersécurité. Ainsi, des travaux en matière d’attractivité et de fidélisation des talents sont en cours.

Dans cette optique, le programme CaRE aspire à explorer toutes les opportunités de convergence et de mutualisation. Il vise à capitaliser sur les forces de l’écosystème, embarquant l’ensemble des structures dans cette démarche.

Pour maintenir la cohérence des actions prioritaires et à forte valeur ajoutée, la Task Force du programme favorise une mobilisation unifiée et coordonnée des différents acteurs.

En parallèle, la Task Force cherche à stimuler le développement de l’offre de services cyber, avec l’ambition d’offrir le soutien nécessaire à chaque établissement, indépendamment de son type d’activité ou de son lieu d’implantation.

Ces initiatives s’alignent sur les ambitions du programme CaRE ainsi que sur les évolutions réglementaires, notamment la directive NIS2. Il est également prévu de pousser la part du numérique dans le budget des établissements à 2% du budget total de chaque établissement, pour renforcer la résilience face aux cybermenaces.

Pictogramme Plus blanc

Sensibiliser les acteurs de la santé pour atteindre la cyber-résilience : des outils à disposition des directions

Le programme CaRE repose sur une conviction fondamentale que « la sécurité numérique est l’affaire de tous ». Pour instaurer cette culture de la sécurité informatique, les professionnels de santé comme le personnel administratif doivent pouvoir accéder à des formations dédiées au numérique et à la cybersécurité.

Ces formations doivent à la fois aborder le cadre réglementaire en vigueur et les bonnes pratiques au service de la sécurité informatique. Les directions d’établissement, en tant qu’instances décisionnelles doivent garantir la sensibilisation du personnel et la stricte application des bonnes pratiques d’hygiène informatique au sein de leurs structures respectives. Le programme CaRE s’engage à soutenir cette dynamique en fournissant les ressources pédagogiques nécessaires aux directions, aux responsables de la sécurité des systèmes d’information (RSSI) et aux directeurs des systèmes d’information (DSI).

Pictogramme cercle blanc

Dans une démarche proactive, le programme prévoit des campagnes de sensibilisation ciblées à l’échelle nationale et régionale. Ces campagnes devront promouvoir une véritable culture de la sécurité informatique au sein des établissements de santé, pour faciliter l’adhésion aux principes fondamentaux de la cybersécurité. Ainsi, en renforçant les compétences à tous les niveaux, le programme CaRE aspire à créer un environnement résilient, parfaitement conscient des enjeux de cybersécurité au sein du secteur de la santé.

Le programme CaRE incite les établissements de santé à prendre des décisions et à mettre en place de nouvelles dispositions en matière de sécurité. Il les invite à se tourner vers des entreprises de cybersécurité.

Fort de ses partenariats avec de grands acteurs cyber, Sigma déploie dans votre infrastructure les outils et systèmes requis : mise en place d’un SoC (service opérationnel de cybersécurité) dédié à la surveillance de votre SI et disponibilité 24/7/365 sur site.

Renforcer la cybersécurité opérationnelle, pour mieux anticiper les cyberattaques

En matière de cyberattaques, les tendances actuelles se montrent particulièrement redoutables : des acteurs désormais professionnalisés utilisent des rançongiciels et exfiltrent de grandes quantités de données. Face à ces menaces croissantes, les établissements de santé doivent engager un effort significatif pour renforcer leurs infrastructures. Dans cette perspective, le programme identifie des domaines d’investissement prioritaires en collaboration avec l’écosystème, visant à remédier aux faiblesses, déployer des technologies de détection avancées et à améliorer la capacité de reprise informatique en cas d’intrusion.

Pour contrer la vulnérabilité des établissements et limiter les risques d’intrusion, le programme CaRE préconise une approche proactive. Celle-ci doit permettre une détection précoce des signaux de compromission, la remédiation des faiblesses structurelles, et l’amélioration globale de la capacité de réaction en cas d’incident.

Pour aider les établissements à combler leur dette technologique et maintenir un niveau de sécurité suffisant, plusieurs investissements ciblés sont envisagés. Par exemple, le programme HospiConnect fait partie des pistes : il permet l’identification électronique des professionnels de santé, pour accéder aux données sensibles sans risque d’usurpation d’identité.

À terme, des financements plus pérennes seront envisagés pour les établissements maintenant des standards élevés, alignés sur les priorités définies par la feuille de route CaRE.

Programme CaRE : quels financements pour le secteur de la santé ?

Le programme CaRE s’appuie sur un plan d’action étalé sur plusieurs années, de 2023 à 2027. Rien que pour 2023-2024, il est doté de plus de 230M€. Cette première tranche de financement, allouée jusqu’en 2024, pourrait atteindre jusqu’à 750 M€ d’ici 2027, démontrant l’ampleur des efforts au service de la cybersécurité dans le secteur de la santé.

Le ministère de la Santé a lancé le 18 mars 2024 le premier appel à financement du plan CaRE, intitulé « Annuaires techniques et exposition sur internet », doté d’une enveloppe de 65 millions d’euros (cf. Arrêté du 18 mars relatif au programme de financement). Cet appel vise à renforcer la sécurité des établissements de santé en maîtrisant leur exposition sur internet et en consolidant la gestion de leurs annuaires techniques. Les établissements de santé éligibles, qu’ils soient publics ou privés, ont été invités à candidater via la plateforme dédiée « eCaRE » du 18 mars au 19 avril 2024. À la clôture de cet appel, 1207 demandes de candidature ont été déposées, représentant 84% des établissements éligibles. Parmi ces candidatures, 733 ont été validées par les Agences Régionales de Santé (ARS). Le montant total engagé par les candidats atteint 98,8% de l’enveloppe prévisionnelle, soit 64 276 242 euros. L’instruction des dossiers par les ARS se poursuit jusqu’au 21 mai 2024. À partir de cette date, les établissements dont les candidatures ont été validées pourront commencer à déposer les preuves de réalisation des objectifs fixés sur la plateforme « eCaRE ».

Pictogramme ampoule blanc

Cependant, bien que le programme CaRE structure les lignes directrices et les mesures pour améliorer la sécurité informatique, il n’est pas suffisant à lui seul pour protéger un établissement de santé contre toutes les cyberattaques. Faire appel à des professionnels de la cybersécurité est recommandé pour compléter les efforts du programme CaRE et vous accompagner dans sa déclinaison opérationnelle. Ces experts peuvent réaliser les audits et les évaluations de la sécurité informatique, mettre en place des solutions de protection et de résilience avancées, former le personnel aux bonnes pratiques en matière de cybersécurité, et fournir une réponse proactive et préventive en cas d’incident. Leur expertise et leur expérience contribue à renforcer la posture de sécurité des établissements de santé et à réduire les impacts des attaques.

L’engouement pour cet appel à financement témoigne de la prise de conscience et de l’engagement fort des établissements de santé face aux risques cyber. En s’inscrivant dans cette démarche, ils montrent leur volonté de pallier leurs vulnérabilités technologiques, d’améliorer la sécurité de leurs annuaires techniques et de réduire leur exposition sur internet.

Les prochains appels à financement seront rapidement initiés : plusieurs priorités ont déjà été identifiées, dans les domaines du poste de travail et de détection, de la sécurisation des accès de télémaintenance, et de la continuité d’activité et stratégie de sauvegarde.

Tags

sante