Baptisé « CaRE » (Cyber accélération et Résilience des établissements), ce programme gouvernemental est issu des travaux de la « Task Force Cyber » mise en œuvre en décembre 2022 par trois ministères, dont celui de la Santé. Objectif : enrayer la prolifération des attaques sur les structures de santé.
La Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS) ont rassemblé et coordonné l’ensemble des parties prenantes en charge de la cybersécurité sur les secteurs sanitaires et médico-sociaux. Il s’agissait de répondre aux enjeux de la priorité 15 de l’axe 4 de la feuille de route du numérique en santé 2023-2027 et renforcer massivement la cybersécurité des établissements de santé. 230 millions d’euros sont fléchés dès 2024. Si l’on anticipe la désignation OSE (opérateurs de services essentiels) de plus de 2 000 hôpitaux publics et privés prévue fin 2024, ce programme arrive à point nommé.
4 axes et 20 objectifs quadrillent le programme CaRE :
L’axe « Gouvernance et résilience » : il a pour objet d’intégrer la sécurité numérique et les objectifs de CaRE au cœur du pilotage stratégique des organisations, du plus haut (ministère et agences) jusqu’aux comités de direction des établissements. Il s’agit de faire pénétrer la culture cyber partout, à tous les niveaux décisionnels, et parmi les professionnels de santé. Pour cela, les établissements vont être amenés à s’évaluer en continu puis à s’inscrire dans des feuilles de route adaptées, mais aussi à s’exercer à la cybercrise, par la réalisation de simulations et par l’amélioration de la robustesse de leurs procédures de continuité d’activité.
L’axe « Ressources et mutualisation » : il vise à cartographier les ressources spécialisées, qu’elles couvrent les volets techniques, organisationnels ou réglementaires, à évaluer les possibilités de mutualisations, et surtout à les renforcer. L’Hôpital recrute, sachez-le et faites-le savoir. Contrairement à ce que l’on pourrait penser, les grilles de rémunérations des ingénieurs et des techniciens supérieurs, récemment révisées, peuvent s’avérer attractives et les missions passionnantes.
Les groupements d’appui au déploiement de la e-santé (les GRADeS régionaux) vont être mis à contribution, les agences régionales de santé (ARS) leur déléguant des crédits pour produire une offre de services et créer des centres de ressources cyber (CRC). Au sein des établissements, un budget dédié aux opérations cyber devra être identifié et sanctuarisé.
L’axe « Sensibilisation » est ambitieux et nécessaire. Il s’agit d’embarquer tout l’écosystème et il est large. Les fonctions médicales, soignantes et médico-techniques, les directions, les cadres et personnels administratifs, les ingénieurs, les techniciens, les partenaires : tout le monde doit y passer. Et le niveau de sensibilité à la cybersécurité doit augmenter significativement. Tests de phishing, campagnes vidéo, conférences spécialisées, formations, e-learning… Tout doit être mis en œuvre pour permettre la montée en compétence des 1,7 million d’acteurs du système de santé.
L’axe « Sécurité opérationnelle » couvre les grands domaines de la sécurité « technique » : la maîtrise des actifs et la supervision proactive de leur sécurité, la sécurité des interconnexions, l’exploitation et le maintien en conditions opérationnelles d’un socle cyber, où l’on retrouve les annuaires (dont l’AD), les technologies de sauvegarde et de restauration, la supervision des systèmes et des réseaux, les plans de reprise d’activités, la sécurité des services exposés qui auront leurs propres sous-objectifs de sécurité, régulièrement mesurés.
Ces quatre axes vont générer de nombreux projets au sein des hôpitaux publics (constitués en 135 groupements hospitaliers de territoire), des structures privées et du secteur médico-social. Les diagnostics sont partagés depuis longtemps. Une dette technique « remplie » de failles de sécurité, des systèmes centraux peu ou mal protégés, renforcés pour partie à la suite des cyberattaques, des politiques d’habilitations complexes, quasi dynamiques, une gestion des identités et des droits très ardue, des mécanismes d’authentification faibles, encore beaucoup fondés sur le login / mot de passe, des mauvais usages identifiés ou non, à tous les étages, par facilité, ou par manque de prise sur les utilisateurs, de larges populations métiers à évangéliser, voire à former pour partie d’entre elles.
La complexité des SI de santé est unique. Plusieurs centaines d’applications interconnectées ou non, via des EAI ou non, presque toutes « critiques », des liaisons vers les fournisseurs pour des centaines de matériels médicaux et de progiciels, des nécessités de partages de données entre de multiples acteurs territoriaux, des utilisateurs de plus en plus mobiles, toujours pressés, sous contraintes permanentes, et des patients soucieux d’une interaction fluide, au sein d’un continuum de soins ultra-disponible et sécurisé.
Gageons que le système va progresser, il ne peut en être autrement ! Et que les objectifs de CaRE seront atteints, portés par cet investissement inédit et par des ressources terrain qu’il convient de soutenir comme jamais.
la newsletter
la newsletter