Quand le secteur de la santé muscle sa cybersécurité
Par Bertrand Lemaire | Le | Cas d’usage
Les agences régionales de santé (ARS) sont en train de se doter d’équipes et de lancer des actions en cybersécurité pour accroître la protection des établissements de santé grâce à une ligne budgétaire spécifique de 26 millions d’euros sur deux ans avec un copilotage national par l’Agence du Numérique en Santé (ANS) et la Délégation du Numérique en Santé (DNS).
Les incidents de cybersécurité ayant affecté de nombreux établissements de santé ont malheureusement défrayé la chronique au fil du temps. En particulier, les incidents fin 2022 ayant frappé les centres hospitaliers de Corbeil-Essonne et de Versailles ont provoqué une prise de conscience au niveau des autorités de tutelle : les établissements de santé français n’étaient tout simplement pas au niveau nécessaire en cybersécurité. Le Ministère de la Santé (actuellement « Ministère du Travail, de la Santé et des Solidarités ») a alors constitué une task-force dédiée au sujet. Depuis cet été, la réponse a pris une nouvelle dimension avec le déploiement d’équipes et le lancement d’actions de cybersécurité dans les agences régionales de santé (ARS). Mais cette initiative n’est ni isolée ni cosmétique.
Suite aux incidents de fin 2022, le Ministère de la Santé a travaillé sur une réponse stratégique et long terme qui ne se limiterait pas à quelques projets ponctuels. Ainsi est né, à partir des travaux de la Task Force, le plan Cybersécurité accélération et Résilience des Etablissements (CaRE) publié fin 2023. Dès ce moment là, une ligne budgétaire dédiée de dix millions d’euros a été ouverte. Fin 2023, 58 % des établissements avaient déjà réalisé leur exercice de crise cyber. A ce jour, le taux a dépassé les 70 %. Les 100 % sont donc encore loin mais les principaux établissements ont bien tous fait le nécessaire. « Les établissements concernés par les Jeux Olympiques avaient des obligations en la matière et les hôpitaux les plus importants ont souvent été les premiers » indique Christophe Mattler, directeur de projet à la Délégation du Numérique en Santé au Ministère de la Santé.
Répondre à la pénurie des talents en cybersécurité
Mais la cybersécurité suppose des moyens et pas seulement financiers. La pénurie de ressources humaines est, en particulier, un réel problème. Christophe Mattler confirme : « il a évidemment un problème de ressources dans les établissements d’où, sur l’idée de la Task Force, notre initiative visant à créer des centres de ressources pour répondre à ce manque. » Des ressources sont ainsi mutualisées au service des différents établissements de chaque région au sein des ARS via ces « centres régionaux de ressources cybersécurité » (CRRC). L’objectif est clairement de réagir au mieux face à une pénurie de talents et de mener des actions les plus efficientes possible. Le secteur peut déjà s’appuyer sur le CERT-Santé opéré par l’ANS (Agence du Numérique en Santé) et sur les outils des Groupements d’Appui au Développement de la eSanté (GRADeS).
Une instruction (référencée sous la cote DNS/2024/54) du 2 juillet 2024 « relative aux missions des centres régionaux de ressources cybersécurité (CRRC) et à leur financement » a donc été publiée au Bulletin officiel Santé - Protection sociale - Solidarité n° 2024/17 du 15 juillet 2024. Cette instruction vise à organiser la mise en place des CRRC et à leur garantir une ligne budgétaire spécifique, dédiée à la cybersécurisation des établissements de chaque région. Professionnels de santé du privé voire industriels du secteur peuvent aussi être concernés par l’initiative. De mai 2024 à mai 2026, le financement a ainsi été fixé (hors salaires) à 26 millions d’euros au niveau national avec une règle de répartition qui dépend essentiellement du nombre d’établissements par région. Ce déploiement est copiloté d’une part, au sein du Ministère, par la DNS, d’autre part par l’Agence du Numérique en Santé (ANS) qui lui est rattachée.
Tenir compte de la diversité des contextes régionaux
« Mais Mayotte n’a rien à voir avec la région Sud - Provence-Alpes-Côte-d’Azur : ce n’est ni le même contexte ni le même nombre d’établissements » souligne Christophe Mattler. Côté contexte, certaines régions avaient déjà commencé un travail similaire sur leur propre budget général. Avec l’instruction de juillet 2024, elles bénéficient désormais d’une ligne budgétaire spécifique comme les autres. La maturité de chaque région amène ainsi des variations. Mais, de plus, les actions propres déjà engagées au sein de tel ou tel établissement ont également leur importance.
Chacune des ARS décline donc concrètement le plan CaRE selon son contexte régional propre. Chaque CRRC peut ainsi consacrer du personnel propre à répondre à un certain type de besoin des établissements de sa région ou bien mettre en oeuvre un marché public régional dans la même optique. Il s’agit que les équipes des CRRC répondent effectivement aux besoins réels des établissements de chaque région. Il n’y a pas d’uniformité nationale possible mais certains outils peuvent être, eux, mutualisés au niveau national, par exemple des kits d’exercices cyber ou des supports de formation ainsi qu’un « catalogue des offres cyber » (environ 400) proposées par par l’ANSSI, l’ANS, les centrales d’achat (CAHPP, CAIH, RESAH…), les Groupements d’Appui au Développement de la eSanté (GRADeS), etc. L’effort à réaliser demeure considérable mais, désormais, un cadre, y compris budgétaire, est en place.
En savoir plus
- Description du Plan Cybersécurité accélération et Résilience des Etablissements (CaRE).