Renforcer la cybersécurité des établissements de santé avec le programme CaRE

Dans un contexte d’intensification de la cybermenace au sein des établissements de santé, les acteurs du secteur doivent agir : 588 cyberattaques ont visé des établissements français de santé, en 2022, selon la CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques).

Défrayant fréquemment la chronique, un tiers d’entre eux ont déclenché un mode dégradé des établissements, avec des impacts sur l’expérience patient.

 

Le programme CaRE pour la cybersécurité des établissements de santé

Partager :

Pour les aider à mieux se protéger, le gouvernement a mobilisé des financements importants et déployé le programme CaRE (Cybersécurité accélération et Résilience des Établissements). Décliné en plan pluriannuel de 2023 à 2027, ce programme s’appuie sur des financements ponctuels et annuels. Il propose également une offre de services visant à coordonner les actions nationales et régionales en matière de cybersécurité.

L'objectif majeur du programme CaRE est d'engager les directions d'établissements, les Présidents de Commission Médicales d’Établissements, et l'ensemble des professionnels de la santé dans une démarche proactive de renforcement de la cybersécurité.

Pour mieux armer les agents du secteur contre les cyberattaques, il faut être capable de sensibiliser et former tous les types de profils. Le programme CaRE s’engage à inclure les établissements médico-sociaux dans un plan d’action aligné sur leur feuille de route sanitaire. Le gouvernement français travaille activement à la création d'un solide écosystème de cybersécurité pour assurer la confidentialité, l'intégrité et la disponibilité des données de santé, dans un monde numérique qui évolue en permanence !

Le programme CaRE se décline en 4 axes majeurs :

  1. Gouvernance et résilience
  2. Ressources et mutualisation
  3. Sensibilisation
  4. Sécurité opérationnelle

Intégrer la cybersécurité à la gouvernance des établissements de santé

L’axe "Gouvernance et résilience" vise une gouvernance durable impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements, industriels). Cette trajectoire claire et singulière est coordonnée par la Délégation au numérique en santé (DNS).

Les enjeux de cybersécurité et la gouvernance associée doivent être intégrés par les établissements, pour qu’ils puissent mettre en œuvre le programme CaRE et le décliner en fonction de leurs singularités. Cette intégration va naturellement impacter leurs choix stratégiques et budgétaires.

Quand ils sont visés par des cyberattaquants, les établissements doivent parfois consacrer des semaines et des mois à la restauration de leur niveau d'activité pré-crise. Cette période de lutte et d'incertitude peut également entraîner des répercussions significatives sur la santé mentale des agents de santé, générant du stress, un traumatisme et d'autres troubles psychologiques. Le processus de guérison après une attaque peut donc prendre du temps, allant au-delà de l'aspect financier et de l’argent à dépenser pour réparer les dommages matériels.

Ainsi, la résilience des établissements face aux incidents cyber et/ou numériques représente un enjeu clé du programme CaRE. Incitant les établissements à incorporer les enjeux de cybersécurité dans leur gouvernance, le programme vise à accélérer la modernisation des systèmes d'informations hospitaliers, le tout pour renforcer de manière durable la résilience des structures de soins.

Mobiliser et mutualiser les ressources pour mieux lutter contre les cybermenaces

Le programme CaRE tient compte de la pénurie de talents et de ressources dans les établissements de santé (ES) et les établissements sociaux et médico-sociaux (ESSMS).

Il met en lumière la nécessité de s’attarder sur les compétences et leur pérennisation dans les domaines du numérique et de la cybersécurité. Ainsi, des travaux en matière d’attractivité et de fidélisation des talents sont en cours.

Dans cette optique, le programme CaRE aspire à explorer toutes les opportunités de convergence et de mutualisation. Il vise à capitaliser sur les forces de l'écosystème, embarquant l'ensemble des structures dans cette démarche.

Pour maintenir la cohérence des actions prioritaires et à forte valeur ajoutée, la Task Force du programme favorise une mobilisation unifiée et coordonnée des différents acteurs.

En parallèle, la Task Force cherche à stimuler le développement de l'offre de services cyber, avec l’ambition d’offrir le soutien nécessaire à chaque établissement, indépendamment de son type d'activité ou de son lieu d'implantation.

Ces initiatives s'alignent sur les ambitions du programme CaRE ainsi que sur les évolutions réglementaires, notamment la directive NIS2. Il est également prévu de pousser la part du numérique dans le budget des établissements à 2% du budget total de chaque établissement, pour renforcer la résilience face aux cybermenaces.

Visionner le replay de notre Webinaire NIS2 – 5 étapes pour anticiper sa conformité

Sensibiliser les acteurs de la santé pour atteindre la cyber-résilience : des outils à disposition des directions

Le programme CaRE repose sur une conviction fondamentale que « la sécurité numérique est l'affaire de tous ». Pour instaurer cette culture de la sécurité informatique, les professionnels de santé comme le personnel administratif doivent pouvoir accéder à des formations dédiées au numérique et à la cybersécurité.

Ces formations doivent à la fois aborder le cadre réglementaire en vigueur et les bonnes pratiques au service de la sécurité informatique. Les directions d'établissement, en tant qu'instances décisionnelles doivent garantir la sensibilisation du personnel et la stricte application des bonnes pratiques d'hygiène informatique au sein de leurs structures respectives. Le programme CaRE s'engage à soutenir cette dynamique en fournissant les ressources pédagogiques nécessaires aux directions, aux responsables de la sécurité des systèmes d'information (RSSI) et aux directeurs des systèmes d'information (DSI).

Sigma déploie dans votre établissement un parcours de sensibilisation sur 12 mois, spécialement conçu pour les professionnels et agents de santé. Décliné sous différents formats, ce parcours se veut à la fois ludique et didactique. Il s’adapte aux habitudes et environnements de travail des agents : affiches imprimées et fixées dans les lieux de pause, déploiement de nouveaux écrans de veille, etc

Dans une démarche proactive, le programme prévoit des campagnes de sensibilisation ciblées à l'échelle nationale et régionale. Ces campagnes devront promouvoir une véritable culture de la sécurité informatique au sein des établissements de santé, pour faciliter l’adhésion aux principes fondamentaux de la cybersécurité. Ainsi, en renforçant les compétences à tous les niveaux, le programme CaRE aspire à créer un environnement résilient, parfaitement conscient des enjeux de cybersécurité au sein du secteur de la santé.

Le programme CaRE incite les établissements de santé à prendre des décisions et à mettre en place de nouvelles dispositions en matière de sécurité. Il les invite à se tourner vers des entreprises de cybersécurité.

Fort de ses partenariats avec de grands acteurs cyber, Sigma déploie dans votre infrastructure les outils et systèmes requis : mise en place d’un SoC (service opérationnel de cybersécurité) dédié à la surveillance de votre SI et disponibilité 24/7/365 sur site.

Renforcer la cybersécurité opérationnelle, pour mieux anticiper les cyberattaques

En matière de cyberattaques, les tendances actuelles se montrent particulièrement redoutables : des acteurs désormais professionnalisés utilisent des rançongiciels et exfiltrent de grandes quantités de données. Face à ces menaces croissantes, les établissements de santé doivent engager un effort significatif pour renforcer leurs infrastructures. Dans cette perspective, le programme identifie des domaines d'investissement prioritaires en collaboration avec l'écosystème, visant à remédier aux faiblesses, déployer des technologies de détection avancées et à améliorer la capacité de reprise informatique en cas d'intrusion.

Pour contrer la vulnérabilité des établissements et limiter les risques d'intrusion, le programme CaRE préconise une approche proactive. Celle-ci doit permettre une détection précoce des signaux de compromission, la remédiation des faiblesses structurelles, et l'amélioration globale de la capacité de réaction en cas d'incident.

Découvrir notre offre cybersécurité

Pour aider les établissements à combler leur dette technologique et maintenir un niveau de sécurité suffisant, plusieurs investissements ciblés sont envisagés. Par exemple, le programme HospiConnect fait partie des pistes : il permet l’identification électronique des professionnels de santé, pour accéder aux données sensibles sans risque d’usurpation d’identité.

À terme, des financements plus pérennes seront envisagés pour les établissements maintenant des standards élevés, alignés sur les priorités définies par la feuille de route CaRE.

Programme CaRE : quels financements pour le secteur de la santé ?

Le programme CaRE s’appuie sur un plan d’action étalé sur plusieurs années, de 2023 à 2027. Rien que pour 2023-2024, il est doté de plus de 230M€. Cette première tranche de financement, allouée jusqu'en 2024, pourrait atteindre jusqu'à 750 M€ d'ici 2027, démontrant l'ampleur des efforts au service de la cybersécurité dans le secteur de la santé.

Le ministère de la Santé a annoncé un premier appel à financement de 60 M€ destiné à soutenir les établissements dans la mise en œuvre de plans de remédiation cyber. Cet appel vise à répondre aux failles exploitables par les attaquants, réduisant ainsi le risque d’intrusion et la diffusion de logiciels malveillants dans les systèmes d’information des établissements.

Les prochains appels à financement seront rapidement initiés : plusieurs priorités ont déjà été identifiées, dans les domaines du poste de travail et de détection, de la sécurisation des accès de télémaintenance, et de la continuité d’activité et stratégie de sauvegarde.

Doté de 250 M€ jusqu'en 2025, le programme CaRE, s'inscrivant dans les objectifs du programme « France 2030 », vise à stopper les tentatives de cyberattaque tout en permettant aux établissements de se relever rapidement en cas d'incident. L'initiative, alignée sur la stratégie nationale de cybersécurité et de digitalisation du secteur de la santé, démontre l'engagement du gouvernement et des acteurs du secteur en faveur de solutions globales, innovantes, qui tiennent compte de la spécificité des besoins. Ces avancées pourraient non seulement garantir la sécurité des informations de santé des citoyens à long terme, mais également positionner la France comme un leader en cybersécurité et innovation dans le domaine de la santé.

Cependant, bien que le programme CaRE structure les lignes directrices et les mesures pour améliorer la sécurité informatique, il n’est pas suffisant à lui seul pour protéger un établissement de santé contre toutes les cyberattaques. Faire appel à des professionnels de la cybersécurité est recommandé pour compléter les efforts du programme CaRE et vous accompagner dans sa déclinaison opérationnelle. Ces experts peuvent réaliser les audits et les évaluations de la sécurité informatique, mettre en place des solutions de protection et de résilience avancées, former le personnel aux bonnes pratiques en matière de cybersécurité, et fournir une réponse proactive et préventive en cas d'incident. Leur expertise et leur expérience contribue à renforcer la posture de sécurité des établissements de santé et à réduire les impacts des attaques.

Dernières ACTUALITÉS
  • Sigma présent au SantExpo 2024 à Paris
    Événement
    Santé | Sigma au SANTEXPO du 21 au 23 mai 2024
    Retrouvez-nous au SantExpo du 21 au 23 mai 2024 pour découvrir comment transformer votre SI de santé au travers du cloud HDS, de la cybersécurité, les solutions digitales & data ainsi que l'entrepôt de données de santé.
    santé
    19 avril 2024
  • Le Rendez-vous des Engagés 2024
    RSE
    Le Grand RDV des engagé·e·s qui changent l’entreprise
    Sigma s'engage en tant que partenaire de cet événement qui vise à soutenir les entreprises du territoire dans la construction collective et le déploiement de stratégies RSE impactantes.
    Agenda 2030 partenariat
    8 mars 2024
  • Femmes souriantes en réunion de travail
    Emplois
    Index égalité entre les femmes et les hommes
    Sur la période de référence du 1er janvier 2023 au 31 décembre 2023, Sigma informatique obtient la note de 89/100 pour son index d’égalité femmes-hommes.
    emploi Index égalité
    1 mars 2024
Plus d’actualités