Cybersécurité accélération et Résilience des Etablissements (CaRE)

Cybersécurité, une réponse collective, déterminée et coordonnée pour faire face à la menace !

Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé.

Les quatre grands axes du plan d'action CaRE

Le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS).
Les enjeux de cybersécurité et la gouvernance associée doivent être pris en compte par les établissements.
Ces derniers doivent pouvoir s’approprier, décliner et déployer le programme CaRE au cœur de leur projet d’établissement et le rendre visible au travers de leurs choix stratégiques et budgétaires.
Suite aux attaques, la plupart des établissements sont contraints d’œuvrer durant de longs mois pour retrouver leur niveau d’activité d’avant crise.
La résilience des établissements en cas d’incident cyber et/ou numérique, constitue par conséquent un axe majeur d’effort.
 

Exercice de crise cyber en établissement

La réalisation d’exercices de crise cybersécurité au sein des établissements de santé et des structures médico-sociale est l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère de la santé et de la prévention.
En effet, les cyberattaques visant les établissements de santé se multiplient depuis plusieurs années (le chiffre a notamment doublé en France en 2021).
Il y a donc une réelle nécessité de sensibilisation et de préparation de tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité dans leurs contextes particuliers. Pour répondre à ce besoin, un groupe de travail réunissant l’Agence du Numérique en Santé, le FSSI ainsi que les ARS et les GRADeS a élaboré des kits d'exercice de crise cybersécurité prêts à l'emploi et autoporteurs pour faciliter l’organisation d’exercices au sein des structures de santé.

Pour s’adapter au plus grand nombre de contextes, ces kits ont été éprouvés in situ dans des établissements de santé et structures médico-sociales informatisées de tailles et d’organisations différentes. Ainsi, les structures pourront envisager une réalisation autonome des exercices ou opter pour une réalisation assistée par un prestataire externe. 
Ces kits sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte. 
Chaque kit est prêt à l’emploi. Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins. Il est divisé en trois parties: 

  1. un kit participant – Ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts de la cybersécurité. Il doit être partagé avec eux en amont de l’exercice ;
  2. un kit de communication – Ce kit permet de communiquer au mieux auprès des participants à l’exercice pour en expliquer la démarche et mobiliser les acteurs ;
  3. un kit animateur – Ce kit permet à tout animateur (interne ou externe) de pouvoir animer en autonomie l’exercice au sein de la structure. Découvrez-le en images à travers la vidéo de présentation présente dans le kit.

Attention : Il est conseillé que seule l’équipe animation puisse consulter ce kit animateur pour assurer la bonne tenue du test et ne pas biaiser la réussite de l’exercice.

Ecrire mon PRA (plan de reprise d'activité) ou mon PCA (plan de continuité d'activité) 

Dans la continuité des travaux réalisés pour produire et déployer les kits d'exercices de crise, les établissements sanitaires et leurs représentants ont exprimé le besoin d’être accompagnés dans la formalisation et la mise en œuvre de leur Plan de Continuité d’Activité (PCA) et de leur Plan de Reprise d’Activité (PRA).
Par conséquent, dans le souci de soutenir les établissements dans le renforcement de leur cyberrésilience, le programme CaRE propose un kit PCA/PRA constitué d’un ensemble d’outils nécessaires à l’écriture de ces plans. S’appuyant sur la documentation de référence (Plan Blanc Numérique de la DGOS, guide de la continuité d’activité du SGDSN) et adoptant une approche orientée métier et non SI, ce kit est divisé en 4 parties :

  • le cadrage du projet : ensemble de documents permettant d’initier la démarche (mode d'emploi du kit, document de cadrage projet, lexique, fiche de mission pour le Responsable PCRA) ;
  • les documents méthodologiques : ensemble de documents permettant d’appréhender la méthode de rédaction des plans de conduite et reprise d’activité (fiches, prototype de BIA, trame de PCRA…) ;
  • la gestion du PCRA : documents expliquant comment maintenir à jour son PCRA dans le temps (MCO du PCRA, grille d’évaluation du PCRA) ;
  • des exemples de BIA.

Réaliser un exercice de crise régional 

Sur le modèle des kits d’exercice de crise à destination des établissements sanitaires et des ESSMS, le programme CaRE propose aux ARS un kit d’exercice de crise. Ce dernier peut tout à fait être utilisé pour répondre aux objectifs numériques 2023-2024.

Ce kit a été construit grâce au retour d’expérience de l’ARS de La Réunion qui a organisé un exercice regroupant l’ARS et la Préfecture en juillet 2023. Il a pour objectif de tester :

  1. l’articulation entre la préfecture et l’ARS ;
  2. la chaîne d’alerte ;
  3. l’évaluation des impacts sur le tissu sanitaire local et la coordination des acteurs ;
  4. les aspects liés à la communication grand public.

L’exercice simule une cyberattaque sur un GHT avec impact sur le Samu et fait jouer l’ARS et la Préfecture (le reste de l’écosystème est simulé). Le kit est composé : 

  1. d’un support pour la présentation de l’exercice et des règles du jeu ;
  2. du scénario et des stimuli associés ;
  3. d’une trame d’évaluation de l’exercice et d’un support de retour d’expérience permettant d’identifier les points forts et axes d’amélioration.

Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements (ES et ESSMS) et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité.
Des travaux sur l’attractivité et la fidélisation des compétences sont en cours. Les réponses ne pouvant être immédiates, le programme s’appuie et favorise toutes les opportunités de convergence et de mutualisation en cherchant autant que possible à capitaliser et à embarquer l’ensemble des structures.
La Task Force s’attache à coordonner et mobiliser les acteurs de l’écosystème de manière unifiée et cohérente autour de l’ensemble des actions identifiées prioritaires et à forte valeur ajoutée.
Elle cherche à encourager le développement de l’offre de service cyber afin que chaque établissement, sans discrimination sur son type d’activité ou son lieu d’implantation, puisse bénéficier du service ou de l’accompagnement dont il a besoin pour répondre aux ambitions du programme CaRE et des évolutions réglementaires (NIS2).
Ces travaux sont réalisés sur la base du « catalogue des offres cyber » publié sur le site de l’ANS, qui collige plus de 400 offres proposées et diffusées par l’ANSSI, l’ANS, les GRADeS et les centrales d’achat (CAHPP, CAIH, RESAH), pour les établissements autour des thématiques : prévenir, contrôler, détecter, réagir et reconstruire. 

« La sécurité est l’affaire de tous », le programme nécessite donc un engagement fort de chacune des parties prenantes.
Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter.
Les directions d’établissement, en tant que décideurs, sont quant à elles garantes de la sensibilisation du personnel et de l’application des bonnes pratiques d’hygiène informatique au sein de leurs structures.
Pour soutenir cette dynamique, le programme s’attache à fournir les ressources pédagogiques nécessaires aux directions, aux RSSI et aux DSI. 

Domaine 1 - Audits techniques

Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts. Le Domaine 1 vise à :

  • atteindre un premier niveau de remédiation de l'exposition sur Internet ;
  • atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
  • se préparer au risque d’une cyberattaque ;
  • s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
  • prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).

Découvrez le catalogue des offres cyber

La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles. Il n'a pas vocation à recenser l’exhaustivité des offres en matière de cyber. Cette liste est enrichie au fil de l’eau par l’écosystème de la e-santé. Le premier recensement réalisé par l'équipe programme CaRE concernait les offres portées par l’ANSSI, l’ANS, les GRADeS et les centrales d’achat.

Il est également rappelé que ces offres n’ont pas fait l’objet d’une procédure de référencement par l’ANS et que chaque établissement qui souhaite bénéficier d’une ou plusieurs de ces offres est tenu de se rapprocher directement des porteurs concernés afin de s’assurer qu’elles répondent bien à leur besoin en matière de sécurité.

Si vous souhaitez intégrer le catalogue, veuillez contacter l'équipe programme CaRE à l'adresse suivante : ans-care@esante.gouv.fr

18 décembre 2023

Plan d'actions CaRE : nouveaux engagements pour renforcer la cybersécurité des établissements.

23-25 mai 2023

Evénements cyber lors de SantExpo.

21 décembre 2022

Lancement de la task force cyber suite à la réunion interministérielle

Consultez l'ensemble des actions portées dans le cadre du programme CaRE 

Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement. 

Je m'informe sur les référentiels PGSSI-S

Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

Le risque cyber en quelques chiffres

39 % des structures ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients en 2022 (CERT Santé)

3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).

43 incidents de sécurité ont été recensés dans le secteur de la santé en France entre janvier 2021 et mars 2023 (ENISA).

Cadre réglementaire

  • Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
  • Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
  • Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
  • NOTE D’INFORMATION N° DGOS-PF5-2022-268

Tout savoir sur les modalités de financement

Des financements ponctuels via des appels à financements

Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.

Des financements vers les acteurs nationaux et régionaux

Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.

Des financements annuels pour maintenir le niveau acquis

Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.

L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.

Chaudron Elodie , Directrice de programme

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

Contactez-nous

 L’équipe du Programme CaRE vous accompagne.

Nos partenaires