Un pilotage stratégique et pas seulement technique

Le programme CaRE marque un tournant en impliquant directement les directions d’établissements face aux risques cyber. Traditionnellement déléguée aux DSI (Directeurs des Systèmes d’Information) et aux RSSI (Responsables de la Sécurité des Systèmes d’Information), la cybersécurité devient un enjeu de gouvernance. Entre 2023 et 2024, plus de 80 % des structures ont réalisé leur premier exercice de crise grâce aux kits méthodologiques fournis, testant ainsi leur capacité de réaction et de communication.

Réduction concrète des vulnérabilités infrastructurelles

Les premiers appels à financement, lancés fin 2023 en collaboration avec l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et le CERT-Santé (Centre de réponse aux incidents cyber pour le secteur de la santé), affichent des résultats tangibles sur deux leviers critiques :

• La sécurisation des annuaires techniques (Active Directory),
• La réduction de l’exposition des services sur internet.

Vers une pérennisation de la résilience

L’étape suivante du programme CaRE concerne la montée en maturité via la généralisation des plans de continuité d’activité et de reprise d’activité. Ces dispositifs visent à anticiper les modes dégradés pour maintenir la prise en charge des patients. Parallèlement, l’ANS travaille avec la DNS (Délégation au numérique en santé) sur la formation continue et l’intégration de l’hygiène numérique dans les cursus initiaux des professionnels de santé et administratifs.

Une menace intensifiée par l’Intelligence Artificielle

Le paysage des risques évolue rapidement. L’usage de l’intelligence artificielle (IA) par les cyberattaquants permet désormais des offensives plus sophistiquées, utilisant notamment le deepfake (technique de synthèse d’image ou de son basée sur l’IA pour usurper une identité). Face à cette menace, la vigilance des acteurs doit s’appuyer sur un arsenal réglementaire multicouche.

Un millefeuille réglementaire entre Europe et France

La conformité repose désormais sur plusieurs « briques » législatives européennes et nationales :

Au niveau du Cloud : L’EUCS (European Cybersecurity Certification Scheme) définit les standards de certification.

Au niveau des systèmes : Les directives NIS 1 et NIS 2 (Network and Information Security), texte majeur sur la sécurité des réseaux, impose une gouvernance stricte.

Au niveau des produits : Le CRA (Cyber Resilience Act), complété par le projet CRA 2 qui vise à sécuriser les produits numériques tout au long de leur cycle de vie.

En France, ces dispositifs s’ajoutent aux spécificités locales comme la certification HDS (Hébergement de Données de Santé) et la Loi Informatique et Libertés, en complément du RGPD (Règlement Général sur la Protection des Données).

Le Programme CARE : un levier opérationnel

Pour accompagner les établissements de santé et le secteur médico-social, la DNS (Délégation au Numérique en Santé) et l’ANS (Agence du Numérique en Santé) pilotent le programme CaRE (Cybersécurité Accélération et Résilience des Établissements). L’enjeu de NIS 2 est également de responsabiliser les organes de direction : les dirigeants devront désormais se former pour piloter les mesures de sécurité.

Qu’est-ce que le programme CaRE ?

Lancé fin 2022 suite aux nombreuses cyberattaques visant les établissements de santé français, le programme CaRE (Cybersécurité accélération et Résilience des Établissements) est une initiative stratégique co-pilotée par la Délégation au Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS). Ce programme s’appuie également sur une construction conjointe avec les acteurs régionaux, notamment les Agences Régionales de Santé (ARS) et les GRADeS (Groupements Régionaux d’Appui au Développement de l’e-Santé). Des centres régionaux de ressources cyber ont notamment été créés pour offrir un accompagnement de proximité aux établissements.

Axe 1 du programme CaRE : Gouvernance et résilience

Le programme CaRE a d’abord pour mission d’améliorer la capacité des établissements à faire face aux crises par la préparation et l’entraînement. Ils sont donc encouragés à réaliser des exercices pour simuler des incidents d’origine cyber et tester la réactivité des cellules de crise institutionnelles, la difficulté majeure étant de gérer l’incertitude et l’imprévisibilité de la durée des attaques. Le but est donc de limiter au maximum l’impact de ces incidents sur la prise en charge des patients et de prévenir la désorganisation des services de soins.

Travaux à venir et deuxième appel à financement

Le programme CaRE a lancé récemment un deuxième appel à financement qui mettra l’accent sur deux éléments. Tout d’abord, le développement du Plan de Continuité d’Activité et du Plan de Reprise d’Activité qui permettra d’assurer la continuité des soins et le fonctionnement des services même en cas de panne majeure des outils numériques. Ensuite, l’implication des Directions Qualité ; en effet, ce ne seront plus seulement les directions informatiques (DSI) et les responsables de la sécurité des systèmes d’information (RSSI) qui seront mobilisés, mais l’ensemble de la chaîne.

Ce financement vise donc à améliorer la sécurisation des données et le traitement des sauvegardes, mais aussi à mettre en place des méthodes de travail dégradées, garantissant ainsi la sécurité des patients en toutes circonstances.

La cybersécurité est donc un défi collectif qui demande une vigilance constante et une montée en compétences de tous les professionnels des établissements de santé. Le programme CaRE, par son approche structurée, pose les fondations d’un hôpital numérique et plus résilient face aux risques.