Après plusieurs années de relative inertie, l’État a décidé de saisir le taureau par les cornes pour sécuriser les réseaux informatiques des établissements de santé. La multiplication des cyberattaques visant les hôpitaux n’est pas étrangère à l’effort financier conséquent consenti par les pouvoirs publics pour soutenir plusieurs mesures proactives. Ainsi, 350 millions euros du Ségur de la Santé seront fléchés sur le renforcement de la cybersécurité dans les établissements sanitaires et médico-sociaux. S’y ajoutent 25 millions d’euros, issus de l’enveloppe budgétaire de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, et qui seront spécifiquement dédiés à la réalisation d’audits de cybersécurité dans les établissements de santé. Cette même somme financera également le service de cybersurveillance en santé, mis en place en partenariat avec l’Agence du Numérique en Santé (ANS) et qui s’attache à détecter, de façon préventive, les vulnérabilités des systèmes d’information hospitaliers. Initié dès 2020, il se concentre pour l’instant sur les 135 groupements hospitaliers de territoire (GHT) qui seront, autre nouveauté, prochainement intégrés à la liste des opérateurs de services essentiels (OSE), c’est-à-dire les structures au sein desquelles une interruption du réseau ou du système informatique pourrait avoir un impact significatif sur l’économie ou la société – ce qui est déjà le cas des CHU. En pratique, les établissements OSE doivent composer avec des règles de sécurité informatique plus strictes, dont le bon respect est contrôlé par l’ANSSI.
Répondre à des lacunes réelles
Par ailleurs, et pour renforcer l’adoption des bonnes pratiques de cybersécurité sur le terrain, l’État a annoncé qu’un établissement de santé ne bénéficiera de son soutien pour un projet donné que si une part comprise entre 5 et 10 % de son budget informatique est effectivement dédiée à la sécurité des systèmes d’information. La sensibilisation à la cybersécurité sera enfin intégrée dans les cursus de formation des acteurs de santé pour développer les pratiques dites d’hygiène numérique. Ces annonces, qui visent donc à répondre à des lacunes réelles, sont intervenues quelques jours après la présentation d’un plan d’un milliard d’euros, dont 720 de financements publics, pour faire émerger des pépites françaises de la cybersécurité. En mars, les pouvoirs publics ont également lancé un appel à manifestation d’intérêt (AMI) dans le cadre du plan France Relance, pour retenir au moins trois projets visant à expérimenter des solutions innovantes, tant sur le plan technologique qu’organisationnel, et répondre notamment aux besoins de cybersécurité des établissements de santé. Ces innovations seront cofinancées par l’État jusqu’à 20 millions d’euros et, une fois validées, pourront ensuite être généralisées à l’ensemble des acteurs critiques dans les territoires. Le dossier de candidature pour les porteurs de projets est disponible sur le site de la Caisse des Dépôts et des Consignations jusqu’au 16 juin 2021. Ce sont autant de pas qui vont (enfin) dans la bonne direction.
Article publié dans le numéro de mai d'Hospitalia à consulter ici