Acquisition d’automatismes grâce aux exercices de crise

Pour éviter la phase de « sidération » lors d’une intrusion, le Centre Régional de Ressources Cybersécurité (CRRC) CAPSI mise sur l’entraînement intensif. Avec plus de 345 exercices de crise réalisés, l’objectif est d’insuffler des réflexes opérationnels et des postures de première urgence aux équipes locales. L’acquisition de ces automatismes est jugée cruciale pour juguler « l’incendie numérique » dès les premières heures.

La Cleanroom : un redémarrage du système d’information en moins de 3 jours

L’innovation majeure présentée, initiée par le GHT (Groupement Hospitalier de Territoire) du Vaucluse avec le soutien de l’ARS (Agence Régionale de Santé), réside dans le dispositif Cleanroom. Ce module mobile, déployable en moins de deux heures, permet de restaurer les services d’information hospitaliers critiques à partir de sauvegardes sécurisées.

Alors qu’une restauration classique après sinistre peut durer plusieurs semaines, la Cleanroom permet un redémarrage des fonctions vitales de l’hôpital en moins de 72 heures. L’ambition est désormais de doter chaque département de la région de ce matériel pour garantir une résilience de proximité.

Cette démarche s’inscrit dans un maillage national. Les centres régionaux collaborent activement pour mutualiser les outils et les retours d’expérience, assurant ainsi une réponse coordonnée et experte sur l’ensemble du territoire français.

Un pilotage stratégique et pas seulement technique

Le programme CaRE marque un tournant en impliquant directement les directions d’établissements face aux risques cyber. Traditionnellement déléguée aux DSI (Directeurs des Systèmes d’Information) et aux RSSI (Responsables de la Sécurité des Systèmes d’Information), la cybersécurité devient un enjeu de gouvernance. Entre 2023 et 2024, plus de 80 % des structures ont réalisé leur premier exercice de crise grâce aux kits méthodologiques fournis, testant ainsi leur capacité de réaction et de communication.

Réduction concrète des vulnérabilités infrastructurelles

Les premiers appels à financement, lancés fin 2023 en collaboration avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le CERT-Santé (Centre de réponse aux incidents cyber pour le secteur de la santé), affichent des résultats tangibles sur deux leviers critiques :

• La sécurisation des annuaires techniques (Active Directory),
• La réduction de l’exposition des services sur internet.

Vers une pérennisation de la résilience

L’étape suivante du programme CaRE concerne la montée en maturité via la généralisation des plans de continuité d’activité et de reprise d’activité. Ces dispositifs visent à anticiper les modes dégradés pour maintenir la prise en charge des patients. Parallèlement, l’ANS travaille avec la DNS (Délégation au numérique en santé) sur la formation continue et l’intégration de l’hygiène numérique dans les cursus initiaux des professionnels de santé et administratifs.

Un risque systémique lié à l’accélération du numérique

L’accélération massive du numérique en santé, portée par les financements du Ségur du numérique, a profondément transformé les parcours de soins. Cette imbrication entre les secteurs public, privé, et les structures spécialisées (comme les CLCC – Centres de Lutte Contre le Cancer) accroît mécaniquement les échanges de données et donc la surface d’exposition aux menaces.

Selon Bertrand Sommier de la FHP, la cybersécurité n’est plus une option technique mais un socle fondamental. Face à une cybermenace croissante et durable, la réponse doit être systémique. Si l’ensemble des acteurs n’élève pas son niveau de protection simultanément, des points d’entrée et de vulnérabilités subsisteront, mettant en péril la continuité des soins sur tout le territoire.

Vers un changement de modèle de financement de la sécurité

Si le cadre normatif progresse, notamment avec la directive européenne NIS2 (Network and Information Security 2), Bertrand Sommier pointe deux freins majeurs : la pénurie de professionnels qualifiés et le modèle de financement actuel.

Le Secrétaire général de la FHP explique qu’il faut désormais des budgets pérennes et structurels, et donc un changement de paradigme : passer de financements « one-shot » (amorçages) à une ligne budgétaire d’État dédiée. 

En cas de crise majeure ou de « blackout », la résilience repose sur une organisation territoriale agile. La FHP appelle à avoir une démarche anticipative de ces crises, une gestion des risques commune entre les établissements. Cela permettrait de renforcer les circuits courts de coordination pour assurer le transfert des patients et la reprise d’activité, et de garantir que la cybermenace n’interrompt jamais la mission de soins.

Un hiatus budgétaire structurel

L’étude demandée par l’Agence du Numérique en Santé révèle un paradoxe critique : si la cybersécurité est désormais perçue comme un enjeu vital par les directions, les moyens financiers ne suivent pas. Actuellement, le secteur de la santé consacre moins de 3 % de son budget à la sécurité informatique. Ce gap budgétaire freine le déploiement de mesures de protection proportionnées aux menaces actuelles.

Face aux contraintes financières, l’expert préconise de s’appuyer sur l’écosystème existant. La mutualisation des ressources et l’assistance entre acteurs du territoire permettent de pallier l’isolement des petites structures.

Sortir du prisme technique : le rôle du CODIR

Pour Pierre Chavonnet, la cybersécurité ne doit plus être l’unique prérogative de la DSI (Direction des Systèmes d’Information). Elle doit devenir une priorité absolue du CODIR (Comité de Direction). Il explique que si le sujet est adressé uniquement à la DSI, le message envoyé sera perçu comme technique : or, c’est un sujet de santé publique qui garantit la continuité des soins. Le pilotage doit donc être transverse et s’inscrire dans une stratégie pluriannuelle portée par la gouvernance de l’établissement, et impliquer chaque professionnel de l’établissement.

Avec le développement de l’Intelligence Artificielle (IA), la cybermenace devient plus pressante. Pierre Chavonnet et l’Agence du Numérique en Santé nous avertissent : l’inertie équivaut à un recul. Les établissements doivent impérativement « se mettre en marche » pour transformer leurs systèmes d’information en remparts efficaces.

Le défi de la cybersécurité invisible

Si Imprivata s’inscrit pleinement dans les programmes de résilience portés par le Ministère de la Santé et l’ANS (Agence du Numérique en Santé), l’entreprise se distingue par sa volonté de rendre la cybersécurité transparente. L’enjeu est de protéger les données de santé sans que cela ne devienne une contrainte supplémentaire pour les professionnels au chevet des patients.

Lutter contre la fatigue numérique

Amélie Leroux introduit un concept clé : la fatigue numérique. Aujourd’hui, un médecin ou un infirmier peut être amené à s’authentifier jusqu’à 60 fois par jour sur différents terminaux (postes fixes, tablettes, chariots mobiles).

Face aux exigences de sécurité imposant des mots de passe complexes (souvent plus de 16 caractères), ces micro-interruptions répétées nuisent à la continuité des soins. Cette charge mentale et technique pèse sur l’efficacité globale des établissements.

Le levier technique : l’authentification « Tap and Go »

Pour lever ces freins, Imprivata déploie le modèle « Tap and Go ». Ce système s’appuie sur les cartes d’établissement ou la CPS (Carte de Professionnel de Santé) pour déclencher une authentification quasi instantanée.

D’un simple geste, le soignant accède à sa session et aux applications métiers, notamment le Dossier Patient Informatisé (DPI), sans saisie manuelle. Cette technologie permet de maintenir un niveau de sécurité critique tout en redonnant du temps médical aux équipes de terrain.

Une menace intensifiée par l’Intelligence Artificielle

Le paysage des risques évolue rapidement. L’usage de l’intelligence artificielle (IA) par les cyberattaquants permet désormais des offensives plus sophistiquées, utilisant notamment le deepfake (technique de synthèse d’image ou de son basée sur l’IA pour usurper une identité). Face à cette menace, la vigilance des acteurs doit s’appuyer sur un arsenal réglementaire multicouche.

Un millefeuille réglementaire entre Europe et France

La conformité repose désormais sur plusieurs « briques » législatives européennes et nationales :

Au niveau du Cloud : L’EUCS (European Cybersecurity Certification Scheme) définit les standards de certification.

Au niveau des systèmes : Les directives NIS 1 et NIS 2 (Network and Information Security), texte majeur sur la sécurité des réseaux, impose une gouvernance stricte.

Au niveau des produits : Le CRA (Cyber Resilience Act), complété par le projet CRA 2 qui vise à sécuriser les produits numériques tout au long de leur cycle de vie.

En France, ces dispositifs s’ajoutent aux spécificités locales comme la certification HDS (Hébergement de Données de Santé) et la Loi Informatique et Libertés, en complément du RGPD (Règlement Général sur la Protection des Données).

Le Programme CARE : un levier opérationnel

Pour accompagner les établissements de santé et le secteur médico-social, la DNS (Délégation au Numérique en Santé) et l’ANS (Agence du Numérique en Santé) pilotent le programme CaRE (Cybersécurité Accélération et Résilience des Établissements). L’enjeu de NIS 2 est également de responsabiliser les organes de direction : les dirigeants devront désormais se former pour piloter les mesures de sécurité.

Une synergie institutionnelle pour l’efficacité budgétaire

L’enjeu majeur de la région repose sur une gouvernance tripartite soudée regroupant l’ARS, le GRADeS et la CPAM (Caisse Primaire d’Assurance Maladie). Cette alliance permet de mutualiser les efforts financiers et politiques dans un contexte budgétaire tendu. Cette synergie s’opérationnalise à travers deux instances de pilotage complémentaires :

Au niveau régional : Un comité stratégique animé conjointement par les trois instances définit la feuille de route e-santé. L’objectif est de garantir la cohérence des actions, déployer plus efficacement les outils numériques auprès des établissements et des professionnels sur le territoire du Pays de la Loire.

Au niveau territorial : Deux fois par an, des comités e-santé départementaux traduisent ces orientations au plus près des besoins locaux.

La réussite de cette gouvernance s’illustre par l’accompagnement des professionnels dans l’appropriation des outils nationaux comme Mon Espace Santé et le DMP (Dossier Médical Partagé). Un projet concret a d’ailleurs été mené avec le CHU de Nantes concernant le suivi des patients post-AVC (Accident Vasculaire Cérébral). L’objectif était de garantir la continuité de l’information entre l’hôpital et les paramédicaux libéraux regroupés en CPTS (Communauté Professionnelle Territoriale de Santé). Grâce au DMP, les lettres de liaison et les bilans sont désormais accessibles à tous les acteurs du parcours, optimisant ainsi la coordination ville-hôpital.

La cybersécurité : une priorité régionale

Depuis l’impulsion du Ségur du numérique en santé en 2021, le système de santé français a connu une grande digitalisation. Malgré les disparités territoriales et les coûts liés à l’interopérabilité des systèmes, la région accentue ses efforts sur la sécurité des données. Julien Ntanga souligne que la cybersécurité est devenue la priorité numéro un.

Au-delà du programme national CARE (Cyber Accélération et Résilience des Établissements) dédié au secteur sanitaire, une collaboration avec le Conseil Régional a été lancée pour accompagner les professionnels de santé libéraux. Ces derniers sont régulièrement ciblés dans les cyberattaques car ils sont un point d’entrée potentiel vers le système de santé global. Julien Ntanga insiste donc sur la nécessité d’engager tous les professionnels dans la cybersécurité et de renforcer le maillon le plus exposé : l’interface entre l’homme et la machine.

Allier innovation et réalités économiques

Pour Philippe Mayer, l’innovation technologique ne peut être déconnectée des réalités économiques du secteur, notamment dans un contexte de tension budgétaire. C’est pour cela qu’Okantis s’engage à développer des logiciels qui soient non seulement performants mais aussi accessibles pour les établissements de santé, publics et privés.

Cybersécurité et résilience : la nouvelle solution Safe Data

L’actualité d’Okantis est marquée par un renforcement des dispositifs de cybersécurité avec Safe Data, sa nouvelle solution conçue pour garantir la résilience et la continuité de service des établissements de santé en cas de cyberattaques ou de pannes. Cette expertise est complétée avec un partenariat de co-développement avec la startup française FairTrust, intégrant notamment des fonctionnalités avancées de SSO (Single Sign-On).

Qu’est-ce que le programme CaRE ?

Lancé fin 2022 suite aux nombreuses cyberattaques visant les établissements de santé français, le programme CaRE (Cybersécurité accélération et Résilience des Établissements) est une initiative stratégique co-pilotée par la Délégation au Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS). Ce programme s’appuie également sur une construction conjointe avec les acteurs régionaux, notamment les Agences Régionales de Santé (ARS) et les GRADeS (Groupements Régionaux d’Appui au Développement de l’e-Santé). Des centres régionaux de ressources cyber ont notamment été créés pour offrir un accompagnement de proximité aux établissements.

Axe 1 du programme CaRE : Gouvernance et résilience

Le programme CaRE a d’abord pour mission d’améliorer la capacité des établissements à faire face aux crises par la préparation et l’entraînement. Ils sont donc encouragés à réaliser des exercices pour simuler des incidents d’origine cyber et tester la réactivité des cellules de crise institutionnelles, la difficulté majeure étant de gérer l’incertitude et l’imprévisibilité de la durée des attaques. Le but est donc de limiter au maximum l’impact de ces incidents sur la prise en charge des patients et de prévenir la désorganisation des services de soins.

Travaux à venir et deuxième appel à financement

Le programme CaRE a lancé récemment un deuxième appel à financement qui mettra l’accent sur deux éléments. Tout d’abord, le développement du Plan de Continuité d’Activité et du Plan de Reprise d’Activité qui permettra d’assurer la continuité des soins et le fonctionnement des services même en cas de panne majeure des outils numériques. Ensuite, l’implication des Directions Qualité ; en effet, ce ne seront plus seulement les directions informatiques (DSI) et les responsables de la sécurité des systèmes d’information (RSSI) qui seront mobilisés, mais l’ensemble de la chaîne.

Ce financement vise donc à améliorer la sécurisation des données et le traitement des sauvegardes, mais aussi à mettre en place des méthodes de travail dégradées, garantissant ainsi la sécurité des patients en toutes circonstances.

La cybersécurité est donc un défi collectif qui demande une vigilance constante et une montée en compétences de tous les professionnels des établissements de santé. Le programme CaRE, par son approche structurée, pose les fondations d’un hôpital numérique et plus résilient face aux risques.

Pour France Assos Santé, le numérique en santé ne prendra pleinement son sens que si les patients ont confiance. Certains publics, notamment les plus âgés ou atteints de pathologies chroniques, restent méfiants face à la dématérialisation du soin, perçue comme un éloignement du lien humain. La coconception des solutions, avec les patients et les acteurs de terrain, devient donc indispensable pour renforcer l’adhésion et la pertinence des innovations.

Autre sujet clé évoqué : le partage des données de santé. La majorité des citoyens se déclarent prêts à partager leurs données, à condition que la sécurité et l’intérêt collectif soient garantis. Mais les inquiétudes persistent, notamment face aux risques de cyberattaques ou d’utilisation commerciale. Arthur Dauphin insiste sur la nécessité d’une pédagogie commune du numérique : informer, rassurer et accompagner pour développer une véritable culture numérique partagée, capable de fédérer patients, professionnels et innovateurs. « Tous les acteurs doivent avancer ensemble pour construire une e-santé de confiance, au service de tous », conclut-il.