Cybersécurité : plan de renforcement dans le secteur de la santé

Article

Face à la recrudescence des actes cybermalveillants, le ministère des solidarités et de la santé a lancé en juillet 2021 un plan de renforcement de la cybersécurité en donnant aux ARS et aux GRADeS un rôle clé dans la déclinaison territoriale.

En 2021, la CERT santé, système de sécurité et de veille numérique contre les cyberattaques, a reçu 60 signalements pour l’Auvergne-Rhône-Alpes, contre 55 en 2020. La recrudescence des actes cybermalveillants se vérifie également au niveau national, avec plus de 730 déclarations d'incidents en 2021, contre 369 en 2020.

Le plan de renforcement de la cybersécurité 

L’objectif est d’accompagner les structures de santé dans la sensibilisation des personnels, dans la durée et l'adoption de nouveaux comportements, individuels et collectifs, nécessaires pour protéger le système de soins des risques cybers et renforcer la confiance numérique. 

Ce plan s'articule autour de trois niveaux d'actions :

  1. Le ministère assure le pilotage de la campagne, en coordination avec l’ANSSI et en lien avec les représentants du secteur de la santé (fédérations, conférences, etc.).
  2. Les ARS déclinent cette campagne sur leurs territoires régionaux de santé, jusqu’au niveau des structures de santé.
  3. Chaque structure sensibilise l’ensemble de son personnel et les usagers à la cybervigilance, aux règles d’hygiène numérique, et aux enjeux de cybersécurité.

 

Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements

Les ARS déclinent la politique ministérielle de cybersécurité autour de 4 axes :

1. Sensibiliser aux risques cyber.

2. Faciliter le partage des pratiques et les actions de mutualisation (région et GHT).

3. Appuyer les structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber.

4. Contrôler :

  • par la production d’audits de sécurité et d’un plan de réduction des vulnérabilités,
  • la prise en compte de la protection des données et de la SSI, dans les projets SI-e-Santé et dans les investissements SI,
  • la préparation des ES (PCA numérique et plan de réponse à incident, prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
  • la déclaration systématique des incidents cyber par les établissements de santé.
Découvrez les outils et webinaires mis à disposition des ES et ESMS

En cohérence avec la feuille de route stratégique du numérique en santé « Ma santé 2022 », le ministère, en étroite collaboration avec l’Agence nationale de sécurité des systèmes d’information (ANSSI) et l’ensemble des acteurs de la santé, met en œuvre ce plan d’action cyber qui couvre l’ensemble des structures de santé et s’appuie sur le renforcement des dispositifs existants. Cette accélération de la stratégie nationale en matière de cybersécurité se traduit ainsi par un investissement de l’État, au travers notamment du Ségur de la santé et de France Relance.