Axe 1 : CyberSécurité

L’essor du numérique en santé expose à des risques accrus. Les cyber-risques sont à l’image de cet essor : ils augmentent. Et les établissements de santé y sont d’autant plus vulnérables qu’ils sont  particulièrement sollicités et sous tension. Stratégiques pour le pays, source exponentielle de données personnelles, ils constituent une cible privilégiée pour les attaques malveillantes. Avec un impact d’autant plus fort que la santé et la vie des patients sont en jeu. Une cyberattaque peut en effet non seulement perturber le quotidien des professionnels, mais aussi mettre en péril la prise en charge des patients.

« La cybersécurité est un préalable au tournant numérique de notre système de santé et à la confiance de tous ses acteurs. C’est pourquoi la résilience de chaque établissement de santé face à la menace cyber est devenue une priorité nationale ».

En cohérence avec la feuille de route stratégique du numérique en santé « Ma santé 2022 », le ministère, en étroite collaboration avec l’Agence nationale de sécurité des systèmes d’information (ANSSI) et l’ensemble des acteurs de la santé, met en œuvre un plan d’actions cyber qui couvre l’ensemble des structures de santé et s’appuie sur le renforcement des dispositifs existants. Cette accélération de la stratégie nationale en matière de cyber sécurité se traduit ainsi par un investissement de l’État, au travers notamment du Ségur de la santé et de France Relance.

Les mesures de renforcement demandées sont en totale cohérence avec les règles de sécurité qui figurent  déjà dans la politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), le programme HOP’EN et celles qui concernent les opérateurs de service essentiel (OSE). Ces mesures s’inscrivent dans une démarche globale de management des risques, qui doit être portée par l’établissement pour améliorer la qualité et la sécurité des soins, et s’intègrent aux procédures de conformité du secteur de la santé.

La priorité est portée aux établissements de santé de référence (ESR), éléments clefs du dispositif de réponse aux situations sanitaires exceptionnelles et aux établissements de santé désignés comme opérateurs de services essentiels (OSE), autour desquels le renforcement de la cyber sécurité s’organise dans les territoires. Elle est également portée sur les établissements ultramarins, au regard de leurs fragilités territoriales et de leur éloignement.  Si ce plan est prioritairement orienté vers les établissements de santé, les actions de sensibilisation et d’accompagnement  sur la cybersécurité  s’adressent également à l’ensemble des acteurs de santé (laboratoires de biologie médicale, centre de radiologie, maisons et centres de santé…) et du médico-social.

La gouvernance repose sur :

Niveau ministérielle

Le ministère des solidarités et de la santé assure le pilotage du plan de renforcements cyber des établissements de santé, en lien avec l’ensemble de l’écosystème de la santé et  l’ANSSI. Le ministère s’appuie sur :

L’offre de service du CERT-Santé

Centre de veille, d'alerte et de réponse aux attaques ou évènements graves informatiques impactant le secteur santé : CERT-Santé (service d’experts en cybersécurité de l’Agence du numérique en santé),qui :

• assure une veille et alerte au profit du secteur santé.

• propose un service aux structures de santé pour détecter de façon préventive les vulnérabilités sur les domaines exposés sur Internet : le  Service national de cybersurveillance en santé
• propose un accompagnement et suivi des structures de santé dans le cadre de la réponse à un incident.
• Réalise la campagne nationale régulière sur la cybersécurité en santé « Tous cyber vigilants », portée par le MSS pour accompagner les structures de santé dans la sensibilisation des personnels

Pour en savoir plus, c’est ici : https://www.cyberveille-sante.gouv.fr/

L’offre de service de l’ANSSI 

• le parcours de cybersécurité qui a pour objectif de renforcer la sécurité des systèmes d’information des bénéficiaires. Ces parcours proposent un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d’ouvrage jusqu’à la mise en œuvre. Pour en savoir plus sur les thèmes et les parcours de cybersécurité, c’est ici.
• un programme en ligne de sensibilisation à la sécurité du numérique qui s’adresse à tous parcours : « SecNumacadémie » 

Niveau territorial

• Les ARS sont chargées de l’animation territoriale de la e-santé et de la politique Cyber et s’assurent de la déclinaison territoriale de la politique de sécurité numérique en santé.
• Les GHT sont les garants de la politique de sécurité partagée. Ils  agissent en  accélérateur des nouveaux usages numériques, organisé autour de la sécurisation des SI partagés, de la mutualisation des moyens cybers et des capacités de réponse à incidents.La désignation des ES support de GHT comme opérateur de service essentiel (OSE) s’inscrit dans cette logique. Le comité des GHT participe à la sensibilisation des décideurs aux risques de cybersécurité
• Optimise la capacité de réponse de ses membres en ayant recours à la mutualisation des compétences et ressources rares : RSSI, DPD, marché de réponse à incident cyber, …
• En lien avec le GIP Sant&Numérique Hauts de France, met en place et animer un collège régional SSI
• Contribue à la mise en place, au sein des GIP Sant&Numérique Hauts de France, d’un centre de ressources régional ayant la charge de certaines actions de sensibilisation

Les autres structures

DG → Responsable de la démarche globale de management des risques, dont la prise en compte effective de la sécurité numérique

Chaque structure :

• sensibilise l’ensemble de son personnel et les usagers à la cyber vigilance ?, aux règles d’hygiène numérique, et aux enjeux de cyber sécurité.

•  réalise un Plan de continuité numérique, un  plan de réponse à incident, des audits de sécurité
•  élabore un plan de réduction des vulnérabilités,
• déclarent systématiquement les incidents - « prévoir un paragraphe dédié cf. lien vers la procédure de signalement »

Les ESMS et les structures d’exercice libéral collectif mettent en œuvre des actions  de mutualisation. Les structures consacrent au moins 5 % des budgets informatiques à la cyber sécurité.

Les quatre axes de la déclinaison territoriale de la politique ministérielle de cyber sécurité par les ARS porte sur :

1. La sensibilisation aux risques cyber en relayant notamment la campagne nationale «  TOUSCYBERVIGILANTS ! »

2. l’animation territoriale qui a pour but de faciliter le partage des pratiques et les actions de mutualisation (région et GHT)

3. l’appui aux structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber

4. le contrôle:

Qui porte notamment sur :

• la réalisation des audits de sécurité et d’un plan de réduction des vulnérabilités,
• la prise en compte de la protection des données et de la SSI, dans les projets SI de Santé et dans les investissements SI
• les actions de prévention : réalisation d’un plan de continuité numérique et plan de réponse à incident, la prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
• la déclaration systématique des incidents cyber par les établissements de santé