Aurélien Rousseau,
Ministère de la santé et de la prévention •
21 nov. 2023La sécurisation des systèmes d'information hospitaliers (SIH) constitue l'un des fondements stratégiques de la politique numérique mise en œuvre de longue date par le ministère de la santé et de la prévention au service des établissements et des patients, et les moyens, en particulier financiers, mis à disposition des établissements de santé ont évolué au fil du temps en parallèle du développement des cybermenaces. Les premiers accompagnements hospitaliers ont débuté dès 2012 pour une mise en place des prérequis relatifs à la sécurité numérique. Ils ont été portés par les différents programmes de financement des systèmes d'information hospitaliers : Plan Hôpital Numérique 2012-2017 et programme HOPE'N 2018-2022, ainsi que dans le cadre du volet numérique du Ségur de la santé. Dès 2021, le ministère a renforcé la panoplie des outils contribuant à la fois à l'organisation du déploiement rapide des mesures de sécurité, et en évaluer les effets. L'Agence nationale de sécurité des systèmes informatiques (ANSSI) et l'Agence du numérique en santé (ANS) réalisent des audits de sécurité pour les établissements de santé. L'ANS propose par ailleurs des kits destinés aux établissements pour organiser leurs exercices de crise. Le référentiel MATURIN'H, outil d'amélioration continue de la qualité des systèmes d'information, permet à chaque établissement d'évaluer son niveau de maturité au regard des mesures prioritaires du domaine de la cybersécurité, et d'objectiver les actions entreprises. L'Observatoire permanent de la sécurité des systèmes d'information des établissements de santé (OPSSIES), annoncé par le Président de la République lors de la présentation de la stratégie nationale pour la cybersécurité en 2021, constitue un outil d'aide à la décision pour les acteurs nationaux et régionaux dans la lutte contre la cybercriminalité dirigée contre le secteur sanitaire. Sur le volet financier, les établissements déclarés OSE (Opérateurs de services essentiels) ayant réalisé les audits couvrant les annuaires centraux et de cybersurveillance sont éligibles à un accompagnement financier dans le cadre des aides à la contractualisation (AC) portées par les agences régionales de santé. À ces mesures s'ajoutent des accompagnements financiers dans le cadre, du Ségur relevant du fonds pour la modernisation et l'investissement en santé (FMIS), et du plan France Relance, dont une partie est affectée à la mise en place de « parcours de cybersécurité ». Pour accompagner les équipes hospitalières, le guide d'aide à la préparation de la gestion du risque numérique (plan blanc numérique) a été diffusé le 15 juin 2023 aux agences régionales de santé pour diffusion auprès des établissements de santé. Ce guide vise à fournir un cadre méthodologique et pratique pour prévenir le risque numérique, et des recommandations à suivre pour gérer au mieux une cyberattaque, et ses conséquences, dans l'environnement hospitalier. Lancé en 2023 par le ministère de la santé et de la prévention, le programme CaRE (Cybersurveillance accélération et résilience des établissements), vise à renforcer la résilience numérique des établissements de santé, en mettant à leur disposition des référentiels et des outils pour faire face aux incidents, rattraper leur retard et pérenniser leur niveau de cybersécurisation. Dans la continuité des actions et dispositifs précédemment décrits, il élargit le périmètre des établissements ciblés. Il se structure autour des thématiques de gouvernance et résilience, de ressources et de leur mutualisation, de sensibilisation, de sécurité opérationnelle et s'accompagne de financements. Le ministère de la santé et de la prévention accompagne au quotidien l'ensemble des établissements de santé. Au-delà des mesures déjà engagées, il continuera d'adapter les réponses et les outils aux évolutions d'une cybermenace multiforme et évolutive.