Acquisition d’automatismes grâce aux exercices de crise

Pour éviter la phase de « sidération » lors d’une intrusion, le Centre Régional de Ressources Cybersécurité (CRRC) CAPSI mise sur l’entraînement intensif. Avec plus de 345 exercices de crise réalisés, l’objectif est d’insuffler des réflexes opérationnels et des postures de première urgence aux équipes locales. L’acquisition de ces automatismes est jugée cruciale pour juguler « l’incendie numérique » dès les premières heures.

La Cleanroom : un redémarrage du système d’information en moins de 3 jours

L’innovation majeure présentée, initiée par le GHT (Groupement Hospitalier de Territoire) du Vaucluse avec le soutien de l’ARS (Agence Régionale de Santé), réside dans le dispositif Cleanroom. Ce module mobile, déployable en moins de deux heures, permet de restaurer les services d’information hospitaliers critiques à partir de sauvegardes sécurisées.

Alors qu’une restauration classique après sinistre peut durer plusieurs semaines, la Cleanroom permet un redémarrage des fonctions vitales de l’hôpital en moins de 72 heures. L’ambition est désormais de doter chaque département de la région de ce matériel pour garantir une résilience de proximité.

Cette démarche s’inscrit dans un maillage national. Les centres régionaux collaborent activement pour mutualiser les outils et les retours d’expérience, assurant ainsi une réponse coordonnée et experte sur l’ensemble du territoire français.

Un pilotage stratégique et pas seulement technique

Le programme CaRE marque un tournant en impliquant directement les directions d’établissements face aux risques cyber. Traditionnellement déléguée aux DSI (Directeurs des Systèmes d’Information) et aux RSSI (Responsables de la Sécurité des Systèmes d’Information), la cybersécurité devient un enjeu de gouvernance. Entre 2023 et 2024, plus de 80 % des structures ont réalisé leur premier exercice de crise grâce aux kits méthodologiques fournis, testant ainsi leur capacité de réaction et de communication.

Réduction concrète des vulnérabilités infrastructurelles

Les premiers appels à financement, lancés fin 2023 en collaboration avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le CERT-Santé (Centre de réponse aux incidents cyber pour le secteur de la santé), affichent des résultats tangibles sur deux leviers critiques :

• La sécurisation des annuaires techniques (Active Directory),
• La réduction de l’exposition des services sur internet.

Vers une pérennisation de la résilience

L’étape suivante du programme CaRE concerne la montée en maturité via la généralisation des plans de continuité d’activité et de reprise d’activité. Ces dispositifs visent à anticiper les modes dégradés pour maintenir la prise en charge des patients. Parallèlement, l’ANS travaille avec la DNS (Délégation au numérique en santé) sur la formation continue et l’intégration de l’hygiène numérique dans les cursus initiaux des professionnels de santé et administratifs.

Un hiatus budgétaire structurel

L’étude demandée par l’Agence du Numérique en Santé révèle un paradoxe critique : si la cybersécurité est désormais perçue comme un enjeu vital par les directions, les moyens financiers ne suivent pas. Actuellement, le secteur de la santé consacre moins de 3 % de son budget à la sécurité informatique. Ce gap budgétaire freine le déploiement de mesures de protection proportionnées aux menaces actuelles.

Face aux contraintes financières, l’expert préconise de s’appuyer sur l’écosystème existant. La mutualisation des ressources et l’assistance entre acteurs du territoire permettent de pallier l’isolement des petites structures.

Sortir du prisme technique : le rôle du CODIR

Pour Pierre Chavonnet, la cybersécurité ne doit plus être l’unique prérogative de la DSI (Direction des Systèmes d’Information). Elle doit devenir une priorité absolue du CODIR (Comité de Direction). Il explique que si le sujet est adressé uniquement à la DSI, le message envoyé sera perçu comme technique : or, c’est un sujet de santé publique qui garantit la continuité des soins. Le pilotage doit donc être transverse et s’inscrire dans une stratégie pluriannuelle portée par la gouvernance de l’établissement, et impliquer chaque professionnel de l’établissement.

Avec le développement de l’Intelligence Artificielle (IA), la cybermenace devient plus pressante. Pierre Chavonnet et l’Agence du Numérique en Santé nous avertissent : l’inertie équivaut à un recul. Les établissements doivent impérativement « se mettre en marche » pour transformer leurs systèmes d’information en remparts efficaces.

La convergence des secteurs public et privé

Pour l’Agence du Numérique en Santé, la lutte contre le cancer est l’affaire de tous, il ne faut donc pas faire de distinction entre les salariés du secteur public de ceux du privé. L’enjeu est de généraliser les démarches de prévention en s’appuyant sur une dynamique interservices impliquant les Ressources Humaines (RH) et la Médecine du Travail. Cette collaboration permet une prise en charge rapide, facteur déterminant du pronostic vital.

« Mon Espace Santé » au service du dépistage

Au cœur de cette stratégie se trouve Mon Espace Santé, le carnet de santé numérique sécurisé des usagers. Porté par l’Assurance Maladie et l’Agence du Numérique en Santé, cet outil dépasse la simple consultation de documents médicaux et permet également d’intégrer de la prévention, avec l’intégration de rappels et de dispositifs de suivi personnalisés.

L’objectif final est de répondre au vieillissement de la population en prolongeant l’espérance de vie en bonne santé, réduisant ainsi les dépenses de santé globales grâce à une infrastructure numérique souveraine et efficace.