par Diane MICHEL, étudiante du Master 2 Droit des médias électroniques

À l’ère du numérique, les données de santé représentent une richesse d’informations cruciales non seulement pour le bien-être des patients mais aussi pour la recherche et l’innovation dans le domaine médical. Les dossiers médicaux électroniques ou encore les résultats de tests de laboratoire constituent autant de données personnelles sensibles, vulnérables aux cyberattaques et mettant en péril la confidentialité, l’intégrité et la disponibilité d’informations vitales.

Au cours des 12 derniers mois, plusieurs établissements de soins français ont été victimes de cyberattaques. C’est le cas, par exemple, des hôpitaux de Vittel et Neufchâteau en octobre dernier ou encore du CHU de Rennes. D’après l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME et l’état de la menace ne faiblit pas.

Dans ce contexte, Aurélien Rousseau, ancien ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé du Numérique, se sont rendus ce lundi 18 décembre 2023 au Centre Hospitalier de Versailles afin de présenter leur nouveau plan d’actions visant à protéger les établissements de santé face à la menace cyber : le programme « Cybersécurité accélération et Résilience des Établissements » appelé programme CaRE. 

Une intégration de la cybersécurité dans la gouvernance des établissements 

Le programme CaRE vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins. Le programme repose sur quatre grands axes et est doté d’un investissement total de 750 millions d’euros d’ici 2027 dont 250 millions d’euros d’ici 2025. 

Le premier axe, intitulé « Gouvernance et résilience », met en œuvre une gouvernance pérenne pour le programme CaRE et plus globalement pour la cybersécurité dans le secteur de la santé. Il s’articule autour de la collaboration de toutes les entités nationales et régionales clés, à savoir : la Direction du Numérique en Santé (DNS), l’ANSSI, la Direction Générale de l’Offre de Soins (DGOS), l’Agence du Numérique en Santé (ANS), les Agences Régionales de Santé (ARS) et les Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS). L’objectif est de préparer et d’orienter les établissements de santé à anticiper et à gérer efficacement les cybermenaces. Dans cette optique, la DGOS a élaboré et diffusé un guide pour la création d’un « Plan Blanc Numérique ». Ce plan est une initiative qui fait partie des mesures de gestion de crise dans le secteur de la santé, avec un accent particulier sur les aspects numériques et informatiques. Ce dernier se concentre sur la préparation et la réponse aux crises qui affectent les systèmes d’information des établissements de santé.

Le second volet du programme favorise la mutualisation des ressources et des moyens entre les établissements. Il envisage d’accroître le personnel affecté aux systèmes d’information en valorisant les carrières dans le domaine du numérique en santé et en assurant la stabilité des emplois dans ce secteur. La part du numérique dans le budget des établissements doit constituer 2% du budget total de chaque établissement.

La sensibilisation des professionnels de santé : une priorité du programme

Le troisième axe du programme vise à sensibiliser tous les professionnels de santé ainsi que le personnel administratif au travers d’une formation en numérique et cybersécurité sur le cadre réglementaire et sur les bonnes pratiques à adopter. Dans cette optique, le programme CaRE envisage de mener des campagnes de sensibilisation ciblées tant au niveau national que régional afin de promouvoir une culture de la sécurité informatique au sein des établissements de santé.

Le dernier volet du programme se concentre sur la sécurité opérationnelle au sein des établissements. Face aux menaces actuelles, il est crucial de renforcer les infrastructures afin de remédier à la vulnérabilité des établissements, de déployer des technologies permettant de mieux détecter les signaux de compromission en cas d’intrusion et d’améliorer la capacité de reprise informatique en cas d’une telle compromission. 

Ces efforts coordonnés dans le cadre du programme CaRE témoignent d’une approche globale et proactive en matière de cybersécurité dans le secteur de la santé. En combinant la sensibilisation, la formation, l’amélioration des infrastructures et l’adoption de technologies avancées, le programme vise ainsi à établir un environnement sécurisé et résiliant, capable de faire face aux cybermenaces émergentes.

Un financement des plans dits de « remédiation cyber »

Dès cette fin d’année 2023, le ministère de la Santé et de la Prévention a dévoilé un premier appel à projets doté de 60 millions d’euros destiné à soutenir les établissements dans la mise en place de plans dits de « remédiation cyber ». Cette initiative a pour objectif de répondre aux failles exploitables par les attaquants et de diminuer ainsi le risque d’intrusion et la diffusion de logiciels malveillants au sein des systèmes d’information des établissements.

Cette annonce s’aligne avec les objectifs du programme « France 2030 » qui mettent un point d’honneur sur le développement technologique, l’innovation ainsi que le renforcement de la cybersécurité dans les infrastructures. Récemment, le Centre hospitalier universitaire de Clermont-Ferrand, le CHU de Grenoble Alpes, les Hospices Civils de Lyon et le CHU de Saint-Étienne ont uni leurs forces pour créer un entrepôt de données de santé « partagé et interopérable ». Sélectionné dans le cadre d’une initiative du plan d’investissement France 2030, ce hub régional reposera sur l’accompagnement de deux industriels majeurs : Thales et Docaposte dont la participation constitue un projet « inédit » en France.

Ces développements marquent une étape significative dans la stratégie nationale de cybersécurité et de digitalisation du secteur de la santé. Ils illustrent l’engagement du gouvernement et des acteurs du secteur à adopter des solutions innovantes pour protéger les données sensibles et renforcer la résilience face aux cybermenaces. À long terme, ces mesures pourraient non seulement garantir la sécurité des informations de santé des citoyens, mais aussi positionner la France en tant que leader en matière de cybersécurité et d’innovation dans le secteur de la santé.

Sources : 

• https://sante.gouv.fr/fichiers/bo/2023/2023.12.sante.pdf 
• https://www.zdnet.fr/actualites/care-le-plan-d-actions-du-gouvernement-face-a-la-menace-cyber-dans-la-sante-39963244.htm 
• https://www.usine-digitale.fr/article/avec-care-le-gouvernement-veut-proteger-efficacement-le-secteur-de-la-sante-contre-les-attaques.N2205504 
• https://esante.gouv.fr/espace-presse/presentation-du-programme-care 
• https://esante.gouv.fr/sites/default/files/media_entity/documents/doc-programme-care-231214-20h_pap%5B17%5D.pdf