L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.
Les quatre grands axes du plan d'action CaRE
Le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS).
Les enjeux de cybersécurité et la gouvernance associée doivent être pris en compte par les établissements.
Ces derniers doivent pouvoir s’approprier, décliner et déployer le programme CaRE au cœur de leur projet d’établissement et le rendre visible au travers de leurs choix stratégiques et budgétaires.
Suite aux attaques, la plupart des établissements sont contraints d’œuvrer durant de longs mois pour retrouver leur niveau d’activité d’avant crise.
La résilience des établissements en cas d’incident cyber et/ou numérique, constitue par conséquent un axe majeur d’effort.
Exercice de crise cyber en établissement
La réalisation d’exercices de crise cybersécurité au sein des établissements de santé et des structures médico-sociale est l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère de la santé et de la prévention.
En effet, les cyberattaques visant les établissements de santé se multiplient depuis plusieurs années (le chiffre a notamment doublé en France en 2021).
Il y a donc une réelle nécessité de sensibilisation et de préparation de tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité dans leurs contextes particuliers. Pour répondre à ce besoin, un groupe de travail réunissant l’Agence du Numérique en Santé, le FSSI ainsi que les ARS et les GRADeS a élaboré des kits d'exercice de crise cybersécurité prêts à l'emploi et autoporteurs pour faciliter l’organisation d’exercices au sein des structures de santé.
Pour s’adapter au plus grand nombre de contextes, ces kits ont été éprouvés in situ dans des établissements de santé et structures médico-sociales informatisées de tailles et d’organisations différentes. Ainsi, les structures pourront envisager une réalisation autonome des exercices ou opter pour une réalisation assistée par un prestataire externe.
Ces kits sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte.
Chaque kit est prêt à l’emploi. Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins. Il est divisé en trois parties:
- un kit participant – Ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts de la cybersécurité. Il doit être partagé avec eux en amont de l’exercice ;
- un kit de communication – Ce kit permet de communiquer au mieux auprès des participants à l’exercice pour en expliquer la démarche et mobiliser les acteurs ;
- un kit animateur – Ce kit permet à tout animateur (interne ou externe) de pouvoir animer en autonomie l’exercice au sein de la structure. Découvrez-le en images à travers la vidéo de présentation présente dans le kit.
Attention : Il est conseillé que seule l’équipe animation puisse consulter ce kit animateur pour assurer la bonne tenue du test et ne pas biaiser la réussite de l’exercice.
Les outils à votre disposition
Ecrire mon PRA (plan de reprise d'activité) ou mon PCA (plan de continuité d'activité)
Dans la continuité des travaux réalisés pour produire et déployer les kits d'exercices de crise, les établissements sanitaires et leurs représentants ont exprimé le besoin d’être accompagnés dans la formalisation et la mise en œuvre de leur Plan de Continuité d’Activité (PCA) et de leur Plan de Reprise d’Activité (PRA).
Par conséquent, dans le souci de soutenir les établissements dans le renforcement de leur cyberrésilience, le programme CaRE propose un kit PCA/PRA constitué d’un ensemble d’outils nécessaires à l’écriture de ces plans. S’appuyant sur la documentation de référence (Plan Blanc Numérique de la DGOS, guide de la continuité d’activité du SGDSN) et adoptant une approche orientée métier et non SI, ce kit est divisé en 4 parties :
- le cadrage du projet : ensemble de documents permettant d’initier la démarche (mode d'emploi du kit, document de cadrage projet, lexique, fiche de mission pour le Responsable PCRA) ;
- les documents méthodologiques : ensemble de documents permettant d’appréhender la méthode de rédaction des plans de conduite et reprise d’activité (fiches, prototype de BIA, trame de PCRA…) ;
- la gestion du PCRA : documents expliquant comment maintenir à jour son PCRA dans le temps (MCO du PCRA, grille d’évaluation du PCRA) ;
- des exemples de BIA.
Webinaire de présentation
Réaliser un exercice de crise régional
Sur le modèle des kits d’exercice de crise à destination des établissements sanitaires et des ESSMS, le programme CaRE propose aux ARS un kit d’exercice de crise. Ce dernier peut tout à fait être utilisé pour répondre aux objectifs numériques 2023-2024.
Ce kit a été construit grâce au retour d’expérience de l’ARS de La Réunion qui a organisé un exercice regroupant l’ARS et la Préfecture en juillet 2023. Il a pour objectif de tester :
- l’articulation entre la préfecture et l’ARS ;
- la chaîne d’alerte ;
- l’évaluation des impacts sur le tissu sanitaire local et la coordination des acteurs ;
- les aspects liés à la communication grand public.
L’exercice simule une cyberattaque sur un GHT avec impact sur le Samu et fait jouer l’ARS et la Préfecture (le reste de l’écosystème est simulé). Le kit est composé :
- d’un support pour la présentation de l’exercice et des règles du jeu ;
- du scénario et des stimuli associés ;
- d’une trame d’évaluation de l’exercice et d’un support de retour d’expérience permettant d’identifier les points forts et axes d’amélioration.
Les outils à votre disposition
Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements (ES et ESSMS) et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité.
Des travaux sur l’attractivité et la fidélisation des compétences sont en cours. Les réponses ne pouvant être immédiates, le programme s’appuie et favorise toutes les opportunités de convergence et de mutualisation en cherchant autant que possible à capitaliser et à embarquer l’ensemble des structures.
La Task Force s’attache à coordonner et mobiliser les acteurs de l’écosystème de manière unifiée et cohérente autour de l’ensemble des actions identifiées prioritaires et à forte valeur ajoutée.
Elle cherche à encourager le développement de l’offre de service cyber afin que chaque établissement, sans discrimination sur son type d’activité ou son lieu d’implantation, puisse bénéficier du service ou de l’accompagnement dont il a besoin pour répondre aux ambitions du programme CaRE et des évolutions réglementaires (NIS2).
Ces travaux sont réalisés sur la base du « catalogue des offres cyber » publié sur le site de l’ANS, qui collige plus de 400 offres proposées et diffusées par l’ANSSI, l’ANS, les GRADeS et les centrales d’achat (CAHPP, CAIH, RESAH), pour les établissements autour des thématiques : prévenir, contrôler, détecter, réagir et reconstruire.
« La sécurité est l’affaire de tous », le programme nécessite donc un engagement fort de chacune des parties prenantes.
Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter.
Les directions d’établissement, en tant que décideurs, sont quant à elles garantes de la sensibilisation du personnel et de l’application des bonnes pratiques d’hygiène informatique au sein de leurs structures.
Pour soutenir cette dynamique, le programme s’attache à fournir les ressources pédagogiques nécessaires aux directions, aux RSSI et aux DSI.
Téléchargez la fiche pratique cybersécurité à destination des professionnels de santé !
Ils témoignent sur leur réponse face à la menace cyber :
Vous souhaitez utiliser la campagne nationale #TousCybervigilants pour sensibiliser les équipes ? Retrouvez ici tous les outils de communication.
Domaine 1 - Audits techniques
Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
Textes réglementaires
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts. Le Domaine 1 vise à :
- atteindre un premier niveau de remédiation de l'exposition sur Internet ;
- atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- se préparer au risque d’une cyberattaque ;
- s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Ressources documentaires
Webinaires de présentation
Domaine HospiConnect
Le domaine HospiConnect, inscrit dans l’axe 4 du programme CaRE, porte sur l’accompagnement technique et financier des établissements pour déployer auprès des professionnels qui y exercent les moyens d’identification électroniques (MIE) les mieux adaptés.
Il vise à simplifier et sécuriser l’accès des professionnels aux services numériques sensibles des établissements et aux services socles nationaux du numérique en santé (par exemple le DMP), sur la base :
- D’une identité sectorielle nationale unique;
- De l’utilisation de moyens d’identification électronique (MIE) à double-facteur d’authentification (2FA) associé à cette identité, en particulier les dispositifs proposés par la fédération ProSanté Connect ;
- De la mise en œuvre de solutions d’Identity & Access management (IAM) pour améliorer la gestion des habilitations et de briques de Single Sign On (SSO) pour simplifier l’authentification des professionnels.
Plusieurs appels à projets sont prévus dès mars 2024, avec des financements dédiés à destination des structures candidates :
- Phase 1 – ALPHA : Appel à projet d’expérimentation destiné à un nombre limité de structures (15) ;
- Phase 2 - BETA : AAP destiné à un nombre étendu de structures ;
- Phase 3 - GÉNÉRALISATION : dispositif destiné à toutes les structures.
Découvrez le catalogue des offres cyber
La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles.
Le risque cyber en quelques chiffres
39 % des structures ont été contraintes de mettre en place un fonctionnement en mode dégradé du système de prise en charge des patients en 2022 (CERT Santé)
3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).
43 incidents de sécurité ont été recensés dans le secteur de la santé en France entre janvier 2021 et mars 2023 (ENISA).
Découvrez comment l'ANS vous accompagne
J'ai besoin d'un accompagnement pour mon établissement
Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement.
Je m'informe sur les référentiels PGSSI-S
Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.
Je déclare un incident
Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.
Tout savoir sur les modalités de financement
Des financements ponctuels via des appels à financements
Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.
Des financements vers les acteurs nationaux et régionaux
Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.
Des financements annuels pour maintenir le niveau acquis
Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.
En savoir plus sur l'état de la menace cyber en France
Cadre réglementaire
- Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
- Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
- Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
- NOTE D’INFORMATION N° DGOS-PF5-2022-268
Une question sur le programme CaRE ?
Retrouvez les réponses aux questions les plus fréquentes.