CRRC : quel est son rôle et ses missions ?
Le centre régional de ressources cyber (CRRC) développe une offre de services répondant aux besoins prioritaires des établissements sanitaires et médico-social en cybersécurité conformément au programme CaRE (Cybersécurité accélération et résilience des établissements).
Objectifs fixés
Soutenir les établissements de santé (ES) et établissements et services médico-sociaux (ESMS) dans l’atteinte des objectifs des différents domaines
Avec le lancement des différents domaines, les CRRC proposent des accompagnements facilitant l’atteinte des objectifs par les ES et ESMS de la région. Par exemple, accompagner méthodologiquement les ES et ESMS, faciliter l’accès aux plateformes d’audit exposition internet et aux offres de remédiation annuaires techniques / exposition internet, proposer une offre en matière de sauvegarde, proposer une formation sur les thématiques des domaines, etc.
Promouvoir les domaines CaRE auprès des ES/ESMS
Le Plan d’action CaRE prévoit plusieurs programmes de financement pour la période 2023-2027 qui vise à renforcer la sécurité opérationnelle des établissements. L’objectif est donc de mobiliser massivement les établissements à se porter candidats à ces programmes. Les CRRC doivent faire la promotion de ces programmes, communiquer sur les modalités de participation et aider les établissements dans les démarches liées à la candidature.
Construire un dispositif régional permettant de faire face à un incident cyber
Afin de répondre aux situations de crise, les CRRC doivent identifier les besoins des établissements et formaliser un plan d’action, le planning et les coûts associés permettant de faire face à cet incident. L’identification d’un soutien à mobiliser auprès des établissements en cas d’incident cyber est également attendue.
Accompagner les ES et ESMS dans le déploiement du Plan de continuité et de reprise d'activité (PCRA) « CaRE »
Les CRRC accompagnent les établissements dans le déploiement du kit méthodologique national de PCRA proposé par CaRE. Cet accompagnement doit se réaliser sur deux axes : promouvoir et suivre le déploiement de la démarche PCRA au sein des ES/ESMS, et apporter un appui méthodologie sur le PCRA.
Animer la communauté cyber de la région
Afin de répondre au besoin de partage d’informations sur les orientations nationales et régionales cyber et de partage d’informations et de bonnes pratiques entre les ES et ESMS sur la thématique cyber, les CRRC renforcent l’animation régionale cyber via différents types d’actions (comités régionaux, événements régionaux, partages documentaires, etc.).
Sensibiliser les acteurs sanitaires et médico-sociaux en région
La numérisation croissante des activités rend le sujet cyber de plus en plus prégnant et l’impact sur les activités et les prises en charge est avéré. Par conséquent, les professionnels de santé doivent être davantage sensibilisés à la cyber-vigilance et aux règles d’hygiène numérique de base. À cette fin, les CRRC proposent une offre de sensibilisation multimodale pour l’ensemble de l’écosystème.
Accompagner la formation cyber des professionnels informatiques
Les professionnels des services numériques (direction des systèmes d'information [DSI], responsable de la sécurité des systèmes d'information [RSSI], etc.) ont besoin d’une mise à jour régulière de leurs connaissances face à l’évolution des cybermenaces et des enjeux techniques associés. Les CRRC proposent une offre de formation adaptée aux différents niveaux de maturité numérique / cyber pour ces professionnels.
Favoriser l’émergence d’initiatives autour de la cybersécurité
Un appel à projet “innovation” sera prochainement lancé par l’Agence régionale de santé (ARS) Auvergne-Rhône-Alpes.
Objectifs spécifiques au secteur médico-social
Diagnostic cyber
Les CRRC proposent aux établissements médico-sociaux une offre de diagnostics permettant de réaliser un diagnostic de maturité du niveau cyber et de produire un plan d’actions associé.
Renforcement de la maturité
Les CRRC proposent plusieurs modalités d’accompagnement de pilotage, suivi et de remédiation du plan d’action pour la montée en maturité cyber une fois le diagnostic réalisé.
Accompagnement aux exercices de crise cyber
Les CRRC proposent une offre d’exercice de crise adaptée au secteur médico-social.
Offre de service proposée
Pour assurer le succès des différentes missions des CRRC, plusieurs mesures sont mises en place.
Tout d’abord, les établissements bénéficient d’un soutien pour atteindre les objectifs des différents domaines de CaRE. Cela inclut par exemple un accès simplifié aux plateformes d’audit d’exposition sur Internet et aux offres de remédiation des annuaires techniques.
Ensuite, des formations adaptées aux différents niveaux de maturité numérique et de cybersécurité sont proposées pour sensibiliser les acteurs, en leur fournissant notamment des règles d’hygiène numérique.
Les CRRC doivent également identifier les besoins des établissements en situation de crise et proposer des solutions mutualisables. Ils doivent formaliser un plan d’action, un calendrier et les coûts associés à la mise en œuvre d’une offre de réponse aux incidents cyber.
Enfin, les CRRC assurent l’animation régionale cyber en renforçant la collaboration avec l’écosystème (ES, ESMS, Fédérations régionales, etc.) grâce à des comités régionaux, des événements et le partage de documents.
Plusieurs autres mesures seront mises en place par la suite en fonction du besoin régional.
CRRC : quel est son fonctionnement ?
L’ARS Auvergne-Rhône-Alpes assure le financement, met en œuvre, pilote et contribue au développement de certains services proposé par le CRRC.
Le GRADeS (GCS SARA) met à disposition des établissements de la région une offre organisationnelle et technique de services dédiée au renforcement de la cybersécurité des établissements.
D’autres acteurs pourront venir rejoindre le CRRC à travers des services qui sont en capacité de délivrer.
Les CRRC sont financés par des fonds européens (Facilité pour la reprise et la résilience FRR). La région Auvergne-Rhône-Alpes dispose d’une enveloppe de 3.2 millions d’euros, soit 2.1 millions d’euros pour le sanitaire et 1.1 millions d’euros pour le médico-social.
CRRC : comment bénéficier d'un appui ?
Pour accéder aux services sans contrepartie financière, les établissements doivent d’une part être adhérent du GCS SARA et pour plusieurs services faisant appel à un prestataire externe, signifier leur engagement à travers une convention dédié.
