Besoin d'être guidé ?
Trouvez l'information ou la démarche correspondant à votre situation
La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles.
3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).
+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé (CERT Santé).
1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).
Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement.
Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.
Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.
Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.
Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.
Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.
Retrouvez les réponses aux questions les plus fréquentes.
Non, le plan de continuité et de reprise informatique (PCRI) définit les mesures de continuité propre aux systèmes d’information – par exemple, en matière de redondance, de réplication ou de disponibilité.
Le plan de continuité et de reprise d’activité (PCRA) en matière d’indisponibilité informatique vise à définir les procédures métiers et organisationnelles permettant la poursuite de l’activité dans le cas d’une indisponibilité partielle ou totale des ressources informatiques.
En d’autres termes, il intervient si les mesures définies dans le PCRI n’ont pas permis d’éviter une indisponibilité informatique.
Il est interdit d’utiliser une clé de chiffrement symétrique unique commune à tous les badges et les terminaux (car trop peu sécurisée). Il est donc obligatoire d’utiliser une clé unique au sein de chaque badge, qui peut être diversifiée d’une clé maitresse commune et sécurisée.
De plus, il est imposé d’utiliser une solution de type Key Management System (KMS) propre à l’établissement qui contient l’ensemble des clés symétriques et/ou la clé maîtresse à partir de laquelle le KMS diversifie une clé fille propre à chaque carte et qui est encodée dans la puce DESFIRE de la carte lors de son enrôlement dans le système. Il s’agit ici d’une application DESFIRE locale et propre à l’établissement non fournie par l’ANS.
En plus de la gestion des clés cryptographiques et des cartes physiques, il convient de définir des processus d’encodage/enrôlement des cartes. Ces trois dimensions peuvent être définies et contractualisées entre l’établissement utilisateur et l’éditeur/intégrateur offrant le service. Cette solution ne s’adresse a priori qu’à des configurations s’appuyant sur des solutions d’IAM (Identity & Access Management) /SSO (single sign-on).
En effet, dans le cas où l’exercice terrain de continuité d’activité était mutualisé avec la réalisation d’un exercice de crise cyber, les dépenses associées à la réalisation conjointe des deux tests sont-elles éligibles dans le cadre du domaine n°2 ?
Pour rappel, seules les dépenses concourant directement à l’atteinte des objectifs du présent domaine sont éligibles. La réalisation d’un exercice de crise cyber n’est pas prévu par le domaine n°2 « continuité d’activité et sauvegarde » et faisait l’objet d’une dépense éligible dans le cadre du domaine n°1 du programme CaRE.
Par principe, les coûts associés à la réalisation d’un exercice de crise cyber ne sont pas éligibles.
Le numérique transforme la santé, mais il ne peut le faire sans sécurité.
Le programme CaRE offre un cadre opérationnel et financier pour accompagner les établissements dans la mise en œuvre de leur stratégie de cybersécurité, en cohérence avec les exigences réglementaires et les enjeux de résilience.
Ensemble, construisons un écosystème de santé plus sûr et plus résilient !
Vous avez des questions autour du programme CaRE (demande d'accompagnement autour de la cybersécurité, du financement CaRE, de votre éligibilité au programme...).
