Pour les aider à mieux se protéger, le gouvernement a mobilisé des financements importants et déployé le programme CaRE (Cybersécurité accélération et Résilience des Établissements). Décliné en plan pluriannuel de 2023 à 2027, ce programme s’appuie sur des financements ponctuels et annuels. Il propose également une offre de services visant à coordonner les actions nationales et régionales en matière de cybersécurité.
L'objectif majeur du programme CaRE est d'engager les directions d'établissements, les Présidents de Commission Médicales d’Établissements, et l'ensemble des professionnels de la santé dans une démarche proactive de renforcement de la cybersécurité.
Pour mieux armer les agents du secteur contre les cyberattaques, il faut être capable de sensibiliser et former tous les types de profils. Le programme CaRE s’engage à inclure les établissements médico-sociaux dans un plan d’action aligné sur leur feuille de route sanitaire. Le gouvernement français travaille activement à la création d'un solide écosystème de cybersécurité pour assurer la confidentialité, l'intégrité et la disponibilité des données de santé, dans un monde numérique qui évolue en permanence !
Le programme CaRE se décline en 4 axes majeurs :
- Gouvernance et résilience
- Ressources et mutualisation
- Sensibilisation
- Sécurité opérationnelle
Intégrer la cybersécurité à la gouvernance des établissements de santé
L’axe "Gouvernance et résilience" vise une gouvernance durable impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements, industriels). Cette trajectoire claire et singulière est coordonnée par la Délégation au numérique en santé (DNS).
Les enjeux de cybersécurité et la gouvernance associée doivent être intégrés par les établissements, pour qu’ils puissent mettre en œuvre le programme CaRE et le décliner en fonction de leurs singularités. Cette intégration va naturellement impacter leurs choix stratégiques et budgétaires.
Quand ils sont visés par des cyberattaquants, les établissements doivent parfois consacrer des semaines et des mois à la restauration de leur niveau d'activité pré-crise. Cette période de lutte et d'incertitude peut également entraîner des répercussions significatives sur la santé mentale des agents de santé, générant du stress, un traumatisme et d'autres troubles psychologiques. Le processus de guérison après une attaque peut donc prendre du temps, allant au-delà de l'aspect financier et de l’argent à dépenser pour réparer les dommages matériels.
Ainsi, la résilience des établissements face aux incidents cyber et/ou numériques représente un enjeu clé du programme CaRE. Incitant les établissements à incorporer les enjeux de cybersécurité dans leur gouvernance, le programme vise à accélérer la modernisation des systèmes d'informations hospitaliers, le tout pour renforcer de manière durable la résilience des structures de soins.
Mobiliser et mutualiser les ressources pour mieux lutter contre les cybermenaces
Le programme CaRE tient compte de la pénurie de talents et de ressources dans les établissements de santé (ES) et les établissements sociaux et médico-sociaux (ESSMS).
Il met en lumière la nécessité de s’attarder sur les compétences et leur pérennisation dans les domaines du numérique et de la cybersécurité. Ainsi, des travaux en matière d’attractivité et de fidélisation des talents sont en cours.
Dans cette optique, le programme CaRE aspire à explorer toutes les opportunités de convergence et de mutualisation. Il vise à capitaliser sur les forces de l'écosystème, embarquant l'ensemble des structures dans cette démarche.
Pour maintenir la cohérence des actions prioritaires et à forte valeur ajoutée, la Task Force du programme favorise une mobilisation unifiée et coordonnée des différents acteurs.
En parallèle, la Task Force cherche à stimuler le développement de l'offre de services cyber, avec l’ambition d’offrir le soutien nécessaire à chaque établissement, indépendamment de son type d'activité ou de son lieu d'implantation.
Ces initiatives s'alignent sur les ambitions du programme CaRE ainsi que sur les évolutions réglementaires, notamment la directive NIS2. Il est également prévu de pousser la part du numérique dans le budget des établissements à 2% du budget total de chaque établissement, pour renforcer la résilience face aux cybermenaces.
Visionner le replay de notre Webinaire NIS2 – 5 étapes pour anticiper sa conformité
Sensibiliser les acteurs de la santé pour atteindre la cyber-résilience : des outils à disposition des directions
Le programme CaRE repose sur une conviction fondamentale que « la sécurité numérique est l'affaire de tous ». Pour instaurer cette culture de la sécurité informatique, les professionnels de santé comme le personnel administratif doivent pouvoir accéder à des formations dédiées au numérique et à la cybersécurité.
Ces formations doivent à la fois aborder le cadre réglementaire en vigueur et les bonnes pratiques au service de la sécurité informatique. Les directions d'établissement, en tant qu'instances décisionnelles doivent garantir la sensibilisation du personnel et la stricte application des bonnes pratiques d'hygiène informatique au sein de leurs structures respectives. Le programme CaRE s'engage à soutenir cette dynamique en fournissant les ressources pédagogiques nécessaires aux directions, aux responsables de la sécurité des systèmes d'information (RSSI) et aux directeurs des systèmes d'information (DSI).