La DNS, Délégation au Numérique en Santé, a lancé le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé. Le but ? Structurer la gouvernance de la cybersécurité dans le secteur de la santé. Tous les acteurs de la santé sont invités à participer. Zoom sur cette initiative.
Des attaques qui se multiplient
Partout dans le monde, les attaques cyber se multiplient. Le monde de la santé n’est pas épargné : 3ème secteur le plus touché, les établissements publics de santé représentent 10% des attaques par rançongiciel (chiffres ANSSI). En 2022, c’est 39% des structures qui ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients (chiffres CERT Santé). Les établissements ont subi une accélération ces dernières années : 43 incidents de sécurité ont été recensés dans le secteur de la santé en France entre janvier 2021 et mars 2023 (chiffres ENISA).
Le programme CaRE
Pour endiguer le phénomène, la DNS s’est emparée du sujet en créant le programme CaRE, Cybersécurité accélération et Résilience des Etablissements. Ce programme est décliné en 4 axes principaux qui permettront de structurer la gouvernance de la cybersécurité dans le secteur de la santé :
- gouvernance et résilience
- ressources et mutualisation
- sensibilisation
- sécurité opérationnelle
Tous les niveaux peuvent agir : ANSSI, ANS, DGOS au niveau national, ARS et GRADeS au niveau régional, professionnels, ESSMS, industriels au niveau local.
Des kits de crise cybersécurité prêts à l’emploi ont été construits par l’ANS :
- Kit débutant
- Kit de crise intermédiaire
- Kit de crise confirmé
- Grille évaluation exercice de crise cyber
Chaque kit est prêt à l’emploi. Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins.
L’ANS propose en outre un kit pour accompagner les établissements à écrire un PRA (plan de reprise d’activité) et un PCA (plan de continuité d’activité).
2ème édition de la Journée de la Cybersécurité
Une journée sur la cybersécurité est organisée le 23 avril 2024, de 9h à 17h30, à la Maison de la Chimie à Paris. Partenaires institutionnels, experts et acteurs de terrain seront réunis pour échanger avec les ESSMS autour des sujets phares liés à la cybersécurité en santé. Cette journée abordera notamment :
- le Plan Régional de Résilience
- le programme CaRE
- Plan de continuité d’activité
- Certification HAS et Cybersécurité
- Témoignages d’acteurs de terrain, notamment pour le médico-social
Renseignements et inscriptions (obligatoires)
Pour tout connaître des prochaines rencontres de l’ANS, rendez-vous sur le calendrier.
Un portail de gestion des menaces cyber pour les établissements
Si vous avez été victime d’attaque cyber sur votre établissement, vous pouvez le signaler sur le portail du CERT dédié aux établissements de santé et les établissements et services médico-sociaux.
Un portail simple d’accès et d’utilisation vous permet de signaler un événement sanitaire cybersécurité indésirable.
En savoir plus
__________________________________________________________________________
Rédaction : Lucille Blondé ; Crédits image : <a href=”https://fr.freepik.com/vecteurs-libre/developpeurs-robot-travaillent-ordinateur-portable-loupe-cybersecurite-industrielle-malware-robotique-industrielle-sauvegarde-du-concept-robotique-industrielle_11667735.htm#fromView=search&page=1&position=2&uuid=23938444-2430-4b38-a222-8b8caa1a3eb6″>Image de vectorjuice sur Freepik</a>