Le 3 décembre 2022, le Centre hospitalier de Versailles, dans les Yvelines, subissait une cyberattaque touchant l’intégralité de son système d’information, qui a nécessité plusieurs mois pour un retour à un fonctionnement normal. Véritable symbole, malgré lui, des enjeux de cybersécurité dans le monde de la santé, l’établissement a, un an plus tard, accueilli Aurélien Rousseau et Jean-Noël Barrot, alors respectivement ministre de la Santé et de la Prévention, et ministre délégué chargé du Numérique. Le 18 décembre 2023, ils y ont officiellement lancé le programme national « Cybersécurité, accélération et résilience des établissements », dit CaRE. Prévu sur cinq ans (2023-2027), celui-ci est doté d’une enveloppe de 250 millions d’euros jusqu’en 2025, avec l’objectif de porter ce financement à un total de 750 millions d’euros d’ici à 2027. Pour les pouvoirs publics, l’ambition de ce « plan d’action » est double puisqu’il vise, à la fois, à « éviter que les attaques aboutissent » et à « permettre aux établissements de s’en relever le plus rapidement possible ».
Divisé en quatre axes, le programme CaRE est issu des travaux de la Task Force cyber, mise en place à la demande du ministère des Solidarités et de la Santé en décembre 2022. Ce groupe de travail, coordonné par la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS), rassemble plusieurs acteurs de la e-santé : le Fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux, la Direction générale de l’offre de soins (DGOS), l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les Agences régionales de santé (ARS), les Groupements régionaux d’appui au déploiement de la e-santé (GRADeS), les fédérations hospitalières et médico-sociales, les représentants des Commissions médicales d’établissements (CME), les industriels…
Divisé en quatre axes, le programme CaRE est issu des travaux de la Task Force cyber, mise en place à la demande du ministère des Solidarités et de la Santé en décembre 2022. Ce groupe de travail, coordonné par la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS), rassemble plusieurs acteurs de la e-santé : le Fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux, la Direction générale de l’offre de soins (DGOS), l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les Agences régionales de santé (ARS), les Groupements régionaux d’appui au déploiement de la e-santé (GRADeS), les fédérations hospitalières et médico-sociales, les représentants des Commissions médicales d’établissements (CME), les industriels…
Quatre axes majeurs…
De ces différents travaux est née une feuille de route 2023-2027, articulée autour de quatre thèmes principaux : (1) la gouvernance et la résilience, (2) les ressources et la mutualisation, (3) la sensibilisation et (4) la sécurité opérationnelle. Le premier axe, qui entend donc favoriser la mise en place d’une gouvernance pérenne pour la cybersécurité en santé, et mieux préparer les structures hospitalières à faire face aux cybermenaces, vise notamment à « embarquer l'ensemble des établissements, et notamment les décideurs », a indiqué Élodie Chaudron, directrice de programme à l’ANS, lors d’un webinaire organisé le 11 janvier dernier pour présenter le programme CaRE. Notant que « la cybersécurité n'[était] pas seulement un sujet technique », elle a également insisté sur la nécessité d’intégrer cet enjeu « dans tous les projets de l'établissement et dans le choix des orientations budgétaires ». Pour justement favoriser cette dynamique vertueuse, plusieurs kits pratiques sont d’ailleurs déjà disponibles, dont trois kits d’exercices de crise cyber par niveau de maturité, quatre autres pour accompagner l’écriture des plans de continuité et de reprise d’activité (PCA-PRA) et un dernier kit destiné aux ARS pour organiser un exercice de crise régional (2).
Si les 2ème et 3ème axes du programme CaRE s’attèlent à des sujets aussi importants que « l’augmentation du nombre de personnels dédiés au système d’information dans les établissements », « la garantie, dans chaque établissement, d’un budget suffisant dédié au numérique et à la cybersécurité », « le développement d’une offre de services répondant aux besoins prioritaires des établissements » ou encore « la sensibilisation et la formation de l’ensemble du personnel des établissements », le dernier axe bénéficie, pour sa part, du budget le plus important, puisqu’il se concentre sur la sécurité opérationnelle des établissements de santé.
Si les 2ème et 3ème axes du programme CaRE s’attèlent à des sujets aussi importants que « l’augmentation du nombre de personnels dédiés au système d’information dans les établissements », « la garantie, dans chaque établissement, d’un budget suffisant dédié au numérique et à la cybersécurité », « le développement d’une offre de services répondant aux besoins prioritaires des établissements » ou encore « la sensibilisation et la formation de l’ensemble du personnel des établissements », le dernier axe bénéficie, pour sa part, du budget le plus important, puisqu’il se concentre sur la sécurité opérationnelle des établissements de santé.
… et plusieurs domaines techniques
« Ce 4ème axe vise à rattraper le retard de nos établissements », a résumé Élodie Chaudron. Il recouvre, à cet égard, plusieurs domaines techniques, portant chacun sur une thématique centrale. Le premier volet, dit « Audits techniques Active Directory et exposition sur internet », dispose ainsi d’une enveloppe de 65 millions d’euros, financée sur des fonds Ségur. « Ce domaine a été identifié comme l'un des points vecteurs d'attaques », a souligné Christophe Mattler, directeur de projets en charge du pilotage CaRE à la DNS, lors d’un second webinaire qui, le 19 janvier dernier, s'est plus particulièrement concentré sur les attendus du domaine 1. Ouvert à tous les établissements de santé, publics comme privés, cet appel à financements a pour objectif de « mettre le pied à l’étrier pour les établissements de santé, afin qu’ils puissent rattraper leur retard sur les périmètres identifiés », a expliqué Élodie Chaudron, lors de cette même réunion.
Centré sur la maîtrise de l’exposition sur internet et des annuaires Active Directory, le premier domaine ambitionne doncd’« élever le niveau général » sur ces deux thématiques. Les prérequis pour candidater sont d’ailleurs « assez restreints, et font appel à des prérequis déjà exposés dans le cadre du programme SUN-ES », a précisé Christophe Mattler en insistant sur la volonté de « faire monter le niveau général, et pas seulement celui de quelques établissements ». Les établissements de santé souhaitant prendre part à l’appel à financement devront se déclarer auprès des ARS entre le 1er mars et 1er avril 2024. Une fois les candidatures instruites par les ARS, les lauréats pourront s’engager dans la mise en œuvre opérationnelle. À l’issue du projet, et une fois les opérations de contrôle menées par l’ARS, une déclaration d’atteinte des objectifs pourra être effectuée sur un portail dédié. « L'ensemble des financements de rattrapage ne seront octroyés qu’à l’atteinte des objectifs fixés », a rappelé Élodie Chaudron. Suivant les dossiers, le versement effectif des subventions devrait donc survenir entre juin 2024 et juin 2025.
Mais, s’il reste particulièrement important, notamment par l’ampleur de son enveloppe, le domaine 1 de l’axe 4 n’est pas le seul chantier lancé dans le cadre du programme CaRE au cours de l’année 2024. L’organisation de plusieurs exercices de crise – qui ont déjà démarré – est ainsi prévue dans tous les établissements sanitaires et dans toutes les régions, notamment celles accueillant des épreuves des Jeux olympiques de Paris. Une campagne de sensibilisation des directeurs généraux et des présidents de CME, ainsi qu’une animation des comités de RSSI, sont également attendues ces prochains mois. Quant aux autres domaines techniques de l’axe 4, ils sont déjà en cours de construction ou d’expérimentation avec, par exemple, un volet dédié à la « Stratégie de continuité et de reprise d’activité », et un autre à « l’identification électronique des professionnels - HospiConnect ».
Centré sur la maîtrise de l’exposition sur internet et des annuaires Active Directory, le premier domaine ambitionne doncd’« élever le niveau général » sur ces deux thématiques. Les prérequis pour candidater sont d’ailleurs « assez restreints, et font appel à des prérequis déjà exposés dans le cadre du programme SUN-ES », a précisé Christophe Mattler en insistant sur la volonté de « faire monter le niveau général, et pas seulement celui de quelques établissements ». Les établissements de santé souhaitant prendre part à l’appel à financement devront se déclarer auprès des ARS entre le 1er mars et 1er avril 2024. Une fois les candidatures instruites par les ARS, les lauréats pourront s’engager dans la mise en œuvre opérationnelle. À l’issue du projet, et une fois les opérations de contrôle menées par l’ARS, une déclaration d’atteinte des objectifs pourra être effectuée sur un portail dédié. « L'ensemble des financements de rattrapage ne seront octroyés qu’à l’atteinte des objectifs fixés », a rappelé Élodie Chaudron. Suivant les dossiers, le versement effectif des subventions devrait donc survenir entre juin 2024 et juin 2025.
Mais, s’il reste particulièrement important, notamment par l’ampleur de son enveloppe, le domaine 1 de l’axe 4 n’est pas le seul chantier lancé dans le cadre du programme CaRE au cours de l’année 2024. L’organisation de plusieurs exercices de crise – qui ont déjà démarré – est ainsi prévue dans tous les établissements sanitaires et dans toutes les régions, notamment celles accueillant des épreuves des Jeux olympiques de Paris. Une campagne de sensibilisation des directeurs généraux et des présidents de CME, ainsi qu’une animation des comités de RSSI, sont également attendues ces prochains mois. Quant aux autres domaines techniques de l’axe 4, ils sont déjà en cours de construction ou d’expérimentation avec, par exemple, un volet dédié à la « Stratégie de continuité et de reprise d’activité », et un autre à « l’identification électronique des professionnels - HospiConnect ».