Les établissements de santé sont parmi les structures les plus visées par les cyberattaques (après les collectivités locales et les PME). Comme le révèle le Panorama de la cybermenace publié par l’Agence Nationale de la Sécurité de Systèmes d’Information (ANSSI), les établissements de santé sont encore exposés à de nombreux actes de cyber-malveillance avec des conséquences qui peuvent être majeures sur la sécurité et la qualité de prise en charge des patients.
Face à cette menace, le ministère de la santé et de l’accès aux soins a lancé, en décembre 2023, le programme CaRE (Cyber Acceleration et Résilience des établissements de santé). Il constitue une réponse inédite pour mettre à niveau les systèmes d’information ciblés par les attaquants et à renforcer durablement la résilience des établissements de santé et des établissements sociaux et médico-sociaux.
Ce programme décline ainsi un plan d’action concret et ambitieux jusqu’en 2027. Il passe notamment par des financements inédits à la hauteur des enjeux en matière de cybersécurité. Le plan d’action a identifié des domaines d’intervention prioritaires et a mis en place un système de soutien financier ambitieux pour aider les établissements à rattraper les retards constatés.
La mobilisation des acteurs sur le terrain est sans précédent. Les directeurs d’établissements et d’agence régionale de santé ont fait de la cyber sécurité une de leurs priorités. La certification HAS des établissements de santé inclut désormais des exigences cyber. Et sur le terrain un réseau de Centres de Ressources Régionaux Cybersécurité (CRRC) a été mis en œuvre pour épauler les établissements face au risque cyber.
La réponse à la menace cyber s’appuie sur une réponse collective et coordonnée. Le travail mis en œuvre dans le cadre du programme CaRE est construit avec l’engagement de la délégation au numérique en santé (DNS), l’Agence du numérique en santé (ANS), le fonctionnaire de la sécurité des systèmes d’information des Ministères sociaux (HFDS), l’ANSSI, les ARS, les groupements régionaux d’appui au développement de la e-santé (GRADeS), des experts de terrains ainsi que de représentants des établissements sanitaires et des fédérations hospitalières.
En 2024, deux premiers dispositifs de financement ont été mis en œuvre. Le premier concerne un appel à financement sur le domaine “Audits techniques : annuaires techniques et exposition sur internet”, doté d’une enveloppe de 65 M€.
Un engagement massif des établissements et de premiers résultats visibles
Le premier volet du programme de financement, ouvert en mars 2024 et doté d’une enveloppe de 65 millions d’euros, ciblait les principales vulnérabilités des systèmes d’informations hospitaliers :
- l’exposition sur internet, qui est souvent la porte d’entrée principale exploitée par les attaquants ;
- l’annuaire technique (ou « Active Directory »), qui gère notamment les comptes d’accès d’un établissement et qui est exploité par les attaquants pour se propager dans le système pour causer plus de dégâts.
85% des établissements éligibles ont candidaté. La réussite de cette premier phase traduit l’engagement exceptionnel des établissements de santé face aux risques cyber. Les établissements candidats au programme ne sont financés que si un premier niveau de sécurisation a bien été atteint et évalués sur ce volet.
Les premiers résultats montrent déjà une amélioration de la sécurisation de leurs “Active Directory” (AD) et de leur surface exposée sur Internet :
- Sur plus de 1000 établissements audités, la part des établissements ayant un “Active Directory” présentant une vulnérabilité majeure a baissé de 20 points entre mai 2024 et février 2025.
- Idem sur le volet de l’exposition internet, la part des établissements présentant des vulnérabilités critiques diminue fortement (-35 points entre août 2024 et janvier 2025).
Le deuxième, plus prospectif, porte sur l’expérimentation de nouveaux de connexion sécurisée à l’hôpital (appelé “HospiConnect” et doté d’une enveloppe de 1,4 M€ en 2024). Un premier bilan pourra être partagé à l’été 2025.
Un nouveau volet de financement pour renforcer la résilience des établissements
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi leurs copies sauvegardées, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques.
Après avoir traitées les vulnérabilités des principales briques techniques exploitées par les cyber attaquants, l’enjeu est maintenant de financer et de tester les stratégies de continuité et de reprise d’activité des établissements de santé.
Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment en améliorant leur système de sauvegarde et en documentant les usages de ce dernier.
La publication de l’arrêté lançant l’appel à financement sur les stratégies de sauvegarde et de continuité est prévue à la fin du mois de mars.
La date de publication de l’arrêté constituera le point de départ à partir duquel les établissements éligibles pourront engager les travaux nécessaires permettant d’atteindre les objectifs de l’appel à financement.
Comme le rappelle, le rapport de la Cour des comptes a paru en janvier 2025 les efforts inédits mis en œuvre dans le cadre du programme CaRE doivent être poursuivis pour combler le sous-investissement historique dans la cybersécurité des établissements de santé.
Ce nouvel élan de résilience et de cybersécurité devra en effet s’inscrire dans la durée. Face à des cybermenaces qui évoluent et changent de forme, les établissements devront pouvoir garantir des moyens pérennes pour s’adapter. C’est pourquoi des réflexions sont en cours pour mettre en œuvre un financement fléché et conditionné par l’amélioration continue des pratiques cyber et à l’augmentation des ressources propres des hôpitaux consacrées à la sécurité informatique.
Le ministère chargé de la santé reste entièrement mobilisé pour protéger les établissements de santé et les données des patients et des soignants.