Programme CaRE - Axe 1 : Gouvernance et résilience

Cybersécurité accélération et Résilience des Etablissements (CaRE)

Entre 2022 et 2023, 86% des incidents signalés à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) concernaient des établissements de santé. Le taux d’incidents a augmenté de 2,8% en 2020 à 11,4% en 2023, reflétant une intensification des menaces, selon l'ANSSI*.

À la suite de ces incidents, la plupart des établissements sont contraints d’œuvrer durant de longs mois pour retrouver leur niveau d’activité d’avant crise. Conscients des enjeux de cybersécurité, les établissements accordent désormais une attention particulière à la gouvernance dans leur stratégie de déploiement pour mieux renforcer leur sécurité numérique.

*Source: Rapport Panorama de la cybermenace, année 2024, ANSSI

En quoi consiste l'Axe 1 du Programme CaRE ?

A travers cet Axe, le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé et augmenter sa capacité de résilience pour mieux faire face et réagir aux risques d'attaques. Plusieurs acteurs sont impliqués : au niveau national, l'ANSSI, l'ANS, la DGOS et la DNS, au niveau régional, les ARS et les GRADeS et au niveau local via les professionnels, les établissements et les industriels. 

Le programme CaRE se concentre sur un axe majeur d'effort qui doit être au cœur des projets des établissements : s'équiper et se former contre la menace d'incidents cyber et/ou numérique.

La gouvernance de la cybersécurité en quelques chiffres

78 % des établissements sanitaires ont planifié ou réalisé un exercice de crise en 2024

100 % des régions ont réalisé ou planifié leur exercice de crise en 2024

Comment s'approprier les méthodologies CaRE en établissement ?

Réaliser un exercice de crise cyber en établissement

La réalisation d’exercices de crise cybersécurité au sein des établissements de santé et des structures médico-sociale est l’une des actions prioritaires du Plan de renforcement cybersécurité du ministère en charge de la Santé.​
Il est crucial de sensibiliser et de préparer tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité. Pour cela, un groupe de travail incluant l’Agence du Numérique en Santé, le FSSI, les ARS et les GRADeS a créé des kits d'exercice de crise cybersécurité prêts à l'emploi pour les structures de santé. Ces kits, testés dans divers établissements, permettent une réalisation des exercice de manière autonome ou assistée par un prestataire.

Ces kits sont adaptés à différents niveaux de maturité :​ débutant, intermédiaire, confirmé. Le niveau de maturité est déterminé par une grille d’auto-évaluation, permettant à chaque établissement de sélectionner le kit approprié à son contexte.

Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins. ​

Les outils à votre disposition Liens de téléchargement
La grille d'évaluation permet de définir de manière autonome et raisonnable la maturité de chaque établissement de santé en matière de gestion de crise de cybersécurité.  Découvrez la grille d'évaluation
Le kit débutant est destiné aux établissements de santé dont le niveau de maturité est jugé faible. Téléchargez le kit débutant
Le kit intermédiaire est destiné aux établissements de santé dont le niveau de maturité est jugé moyen. Téléchargez le kit intermédiaire
Le kit confirmé est destiné aux établissements de santé dont le niveau de maturité est jugé élevé.  Téléchargez le kit confirmé

 

Chaque kit comprend : ​

  • un guide participant – ce guide comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts de la cybersécurité. Il doit être partagé avec eux en amont de l’exercice ; ​
  • un guide de communication – ce guide permet de communiquer au mieux auprès des participants à l’exercice pour en expliquer la démarche et mobiliser les acteurs ;
  • un guide animateur – ce guide permet à tout animateur (interne ou externe) de pouvoir animer en autonomie l’exercice au sein de la structure. Il comporte le chronogramme qui décrit le déroulement de l'exercice, les stimuli à envoyer, le support du brief et debrief des participants, livret animateur, grille d'évaluation, annuaire des participants, le support pour le rapport de l'exercice de crise puis le questionnaire de satisfaction.​

⚠ Attention : Il est conseillé que seule l’équipe animation puisse consulter ce kit animateur pour assurer la bonne tenue du test et ne pas biaiser la réussite de l’exercice.

Ecrire mon PRA (plan de reprise d'activité) ou mon PCA (plan de continuité d'activité) 

Dans la continuité des travaux réalisés pour produire et déployer les kits d'exercices de crise, les établissements sanitaires ont exprimé le besoin d’être accompagnés dans la formalisation et la mise en œuvre de leur Plan de Continuité d’Activité (PCA) et de leur Plan de Reprise d’Activité (PRA). Le programme CaRE propose un kit PCA/PRA constitué d’un ensemble d’outils nécessaires à l’écriture de ces plans. Ce kit s'appuie la documentation de référence en cybersécurité : le Plan Blanc Numérique de la DGOS et  guide de la continuité d’activité du SGDSN. Il adopte une approche orientée métier et non SI. Il est divisé en 4 parties :

Le kit PCA/PRA à votre disposition Liens de téléchargement

Le cadrage du projet, pour initier la démarche : présentation du PCRA, mode d'emploi du kit, lexique, fiche de mission pour le Responsable PCRA et RETEX de la phase pilote

Consultez le Kit PCA-PRA: Cadrage 

Les documents méthodologiques, pour comprendre la méthode de rédaction des plans de conduite et reprise d’activité :  fiches, prototype de BIA, trame de PCRA, etc.

Consultez le Kit PCA-PRA: Méthodologie d'élaboration 
Trois exemples de Bilan d'Impact sur l'Activité (BIA), pour s'inspirer : service RH, service de réanimation, laboratoire Consultez le Kit PCA-PRA: Exemples BIA 

La gestion du PCRA, pour maintenir son PCRA à jour : fiche méthodologique sur le maintien en conditions opérationnelles du PCRA

Consultez le Kit PCA-PRA: Gestion du PCRA 

 

Réaliser un exercice de crise régional 

Le programme CaRE propose aux ARS un kit d’exercice de crise. Celui-ci suit le même modèle que les kits d’exercice de crise à destination des établissements sanitaires et des ESSMS. Le kit d'exercice de crise régional a été construit grâce au retour d’expérience de l’ARS de La Réunion qui a organisé un exercice regroupant l’ARS et la Préfecture en juillet 2023. Il a pour objectif de tester :

  • l’articulation entre la préfecture et l’ARS ;
  • la chaîne d’alerte ;
  • l’évaluation des impacts sur le tissu sanitaire local et la coordination des acteurs ;
  • les aspects liés à la communication grand public.

L’exercice simule une cyberattaque sur un GHT qui a un impact sur le Samu. Il fait jouer l’ARS et la Préfecture, le reste de l’écosystème est simulé. Le kit est composé : 

  • d’un support pour la présentation de l’exercice et des règles du jeu ;
  • du scénario et des stimuli associés ;
  • d’une trame d’évaluation de l’exercice et d’un support de retour d’expérience permettant d’identifier les points forts et axes d’amélioration.

Téléchargez le kit d'exercice de crise régional 

Webinaire de présentation du kit PCRA

Retour d'expérience de la phase pilote avec le CHU de Lille.

Présentation de la méthodologie de construction d'un PCRA sur la base du kit mis à disposition pour les ES et ESMS.

En savoir plus sur la certification HAS des établissements de santé

Certification HAS

La certification HAS est un dispositif d’évaluation externe obligatoire pour tous les établissements de santé, réalisé tous les quatre ans par des professionnels mandatés par la HAS. Son objectif est de fournir une évaluation indépendante de la qualité et de la sécurité des soins, ainsi que de l’ensemble des prestations offertes par les hôpitaux et cliniques en France. 

Afin d’encourager l’inscription de la cybersécurité dans la gouvernance des établissements et dans les démarches d’amélioration continue de la qualité et de gestion des risques, des critères numériques et cyber spécifiques ont été intégrés dans le manuel de certification HAS pour la qualité soins en 2024.​

Ces critères permettent d'évaluer la qualité des pratiques dans l'utilisation des outils et supports numériques, et la sensibilisation aux risques.​

Pour aller plus loin : 

La certification des établissements de santé pour la qualité des soins
Manuel et référentiel de Certification des établissements de santé pour la qualité des soins - version 2024​

 

Nos partenaires