Face à la multiplication des cyberattaques visant les établissements de santé, les acteurs se mobilisent. La réalisation d’exercices de gestion de crise cybersécurité au sein des établissements de santé est essentielle. 

Ils permettent aux professionnels des établissements d’adopter les bons réflexes face à une attaque et de se préparer à rétablir le système d’information le plus rapidement possible.

Un objectif de 50% des établissements ayant fait leur premier exercice a été fixé par le ministère de la santé et de la prévention aux régions pour décembre 2023, avec des financements d’amorçage dédiés et des kits de scénarios d'exercices. Ces exercices sont devenus obligatoires pour les établissements et sont réalisés de façon régulière.

Grâce à la forte mobilisation de tous, et en premier lieu des établissements, un premier palier a été atteint en mai dernier avec la réalisation du 500ème exercice. Certains de ces exercices ont fait l’objet de partages d’expériences entre hôpitaux et de reportages, comme dans cet hôpital en Bretagne. 

Par ailleurs, des exercices de crise régionaux sont également en cours de déploiement dans l’ensemble du territoire, et notamment dans les régions qui accueilleront les jeux olympiques de 2024, permettant de tester la capacité de réponse des acteurs régionaux à des cyberattaques de grande ampleur.

Ces actions s’inscrivent dans le programme Cyber accélération et résilience des établissements (CaRE), prévu dans la feuille de route du numérique en santé 2023-2027. D’ores et déjà financé à hauteur de 175 millions d’euros, il est piloté par la Délégation au numérique en santé (DNS) avec l'Agence du Numérique en Santé (ANS), en lien étroit avec le haut fonctionnaire de défense et de sécurité (HFDS) des ministères sociaux, la direction générale de l'offre de soins (DGOS), l’Agence nationale de la sécurité des systèmes d'information (ANSSI), les agences régionales de santé (ARS) et leurs Groupements Régionaux d’Appui au Développement de la e-Santé (GRADeS).

L’ambition du programme se décline en quatre axes :

• Gouvernance et résilience avec les enjeux d’intégration de la cybersécurité dans la gouvernance ainsi que dans les démarches qualité et gestion des risques. Il est notamment prévu de systématiser les exercices de crise et d’intégrer de nouveaux critères numériques et cyber dans le référentiel de certification HAS, qui recrute des visiteurs spécialisés sur le numérique dans une campagne lancée récemment.
   
• Ressources et mutualisation, avec la nécessaire augmentation du budget des établissements sur le numérique (cible minimale de 2% des dépenses de l’établissement) et en particulier sur la sécurité des systèmes d'information (SSI) et les infrastructures, ainsi que la mutualisation nécessaire des compétences, notamment au niveau des groupes hospitaliers de territoire (GHT) ainsi qu’au niveau régional, dans des centres de ressources dédiés. 
   
• Sensibilisation avec la mise en place d'un plan de sensibilisation annuel pour tous les professionnels qui œuvrent dans les établissements sanitaires et médico-sociaux, la prise en charge d'une formation cyber dans la formation initiale ou continue des professionnels de santé notamment, la centralisation de l’information et un accès facilité via une page web dédiée sur le site esante.gouv.fr et le lancement d'une nouvelle campagne "Tous cybervigilants". 
   
• Sécurité opérationnelle des établissements de santé avec le soutien financier aux établissements pour atteindre des résultats tangibles, mesurés par des audits réguliers, sur des domaines identifiés comme prioritaires par les acteurs : l’exposition internet, les annuaires d’établissement, les postes de travail, la détection des attaques, la sécurisation de la télémaintenance et la réalisation de sauvegardes.