Le Programme CaRE

#Cybersécurité #Accélération #Résilience #Établissements

L’accélération du virage numérique en santé s’accompagne pour 2023 d’un important plan national de renforcement des moyens et des actions de sécurité numérique à destination des établissements sanitaires et médico-sociaux.

Dans cette dynamique, un engagement particulier est attendu de la part des établissements sanitaires en matière de résilience et de prévention du risque de défaillance numérique. Comme le souligne le communiqué interministériel du 21 décembre 2022, les établissements de santé sont invités à réaliser un exercice de simulation de crise numérique d’ici la fin de l’année 2024. Missionné par l’ARS PACA, CAPSI met en oeuvre un accompagnement spécifique destiné à faciliter le déploiement de cet exercice au sein de votre établissement : scénarios de simulation « prêt à l’emploi » et appui à l’animation.

Axe 1

Gouvernance et résilience

Le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS).
Les enjeux de cybersécurité et la gouvernance associée doivent être pris en compte par les établissements.
Ces derniers doivent pouvoir s’approprier, décliner et déployer le programme CaRE au cœur de leur projet d’établissement et le rendre visible au travers de leurs choix stratégiques et budgétaires.
Suite aux attaques, la plupart des établissements sont contraints d’œuvrer durant de longs mois pour retrouver leur niveau d’activité d’avant crise.
La résilience des établissements en cas d’incident cyber et/ou numérique, constitue par conséquent un axe majeur d’effort.

Objectifs

  • Mettre en œuvre une gouvernance pérenne pour le programme CaRE et plus globalement pour la cybersécurité dans le secteur de la santé.
  • Intégrer la cybersécurité dans la gouvernance des établissements.
  • Préparer et accompagner les établissement à réagir et à faire face à la cybermenace.
  • Engager les établissements (ES et ESSMS) dans une démarche d'auto-évaluation et d'orientation de leur feuille de route cyber.

CAPSI vous propose :

Exercice de gestion de crise numérique
Gouvernance des politiques de sécurité
Assistance à l'atteinte des critères de cybersécurité pour l'obtention de la certification HAS
Accompagnement à la création ou à la refonte de vos PCRA

Continuité d'activité

Accompagnement à l'analyse des risques numériques

Axe 2

Ressources et mutualisation

Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements (ES et ESSMS) et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité.
Des travaux sur l’attractivité et la fidélisation des compétences sont en cours. Les réponses ne pouvant être immédiates, le programme s’appuie et favorise toutes les opportunités de convergence et de mutualisation en cherchant autant que possible à capitaliser et à embarquer l’ensemble des structures.
La Task Force s’attache à coordonner et mobiliser les acteurs de l’écosystème de manière unifiée et cohérente autour de l’ensemble des actions identifiées prioritaires et à forte valeur ajoutée.
Elle cherche à encourager le développement de l’offre de service cyber afin que chaque établissement, sans discrimination sur son type d’activité ou son lieu d’implantation, puisse bénéficier du service ou de l’accompagnement dont il a besoin pour répondre aux ambitions du programme CaRE et des évolutions réglementaires (NIS2).
Ces travaux sont réalisés sur la base du « catalogue des offres cyber » publié sur le site de l’ANS, qui collige plus de 400 offres proposées et diffusées par l’ANSSI, l’ANS, les GRADeS et les centrales d’achat (CAHPP, CAIH, RESAH), pour les établissements autour des thématiques : prévenir, contrôler, détecter, réagir et reconstruire. 

Objectifs

  • Favoriser la mutualisation des ressources et moyens entre les établissements.
  • Augmenter le nombre de personnels dédiés au SI dans les établissements.
  • Garantir dans chaque établissement un budget suffisant dédié au numérique et à la cybersécurité.
  • Développer une offre de service répondant aux besoins prioritaires des établissements en lien avec les Centres de Ressources Cybers (CRRC) hébergés dans les GRADeS et les acteurs inductriels.

CAPSI vous propose :

Accompagnement à la réponse à incident
Réseau Pep's

Marché Réseau, télécom, sécurité Pep's

Solution de transfert de fichiers sécurisée

Solution BlueFiles

Axe 3

Sensibilisation

« La sécurité est l’affaire de tous », le programme nécessite donc un engagement fort de chacune des parties prenantes.

Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter.
Les directions d’établissement, en tant que décideurs, sont quant à elles garantes de la sensibilisation du personnel et de l’application des bonnes pratiques d’hygiène informatique au sein de leurs structures.

Pour soutenir cette dynamique, le programme s’attache à fournir les ressources pédagogiques nécessaires aux directions, aux RSSI et aux DSI. 

Objectifs

  • Sensibiliser les Directeurs Généraux et les Présidents des Commissions Médicales d'Établissements (PCME) sur les risques cyber et leurs impacts.
  • Animer une communauté des RSSI d'établissements.
  • Sensibiliser et former l'ensemble du personnel des établissements.

CAPSI vous propose :

Journée régionale cybersécurité en santé 
Accompagnement terrain SSI

Assistance pour l'organisation de journées thématiques sur la cybersécurité et la conformité numérique

Webinaire RGPD - Sensibilisation à la protection des données 
Webinaire Cybersécurité à la demande
Webinaire actualité veille SSI
Plateforme de e-learning Sensiwave : sensibilisation Cybersécurité
Plateforme de e-learning Sensiwave : Sensibilisation phishing
Quiz ludique personnalisé 

Licence Kahoot

Escape game

Crack’n Hack

Affiches et écrans de veille de sensibilisation

Axe 4

Sécurité opérationnelle

Les établissements de santé sont financés pour pallier leur dette technologique sur les domaines identifiés comme prioritaires. Un premier appel à financement dit pour le domaine « audits techniques exposition internet et annuaires techniques » (Domaine 1) est lancé.

Les prochains appels à financement suivront rapidement. Parmi les priorités déjà identifiées : « Poste de travail et détection » (Domaine 2), « Sécurisation des accès de télémaintenance » (Domaine 3).

Pour plus d'informations, veuillez consulter les documents de référence pour chaque domaine. Ces documents seront ajoutés progressivement, au fur et à mesure de leur disponibilité.

Objectifs

  • Soutenir les établissements de santé dans les domaines identifiés comme prioritaires pour faire face à la cybermenace.
  • Maîtriser les risques d'exposition sur internet et sécuriser les annuaires d'établissement.
  • Superviser les postes de travail et détecter les intrusions.
  • Sécuriser les accès au SI depuis l'extérieur (télémaintenance).
  • Reconstituer rapidement les services critiques en cas d'incident.
  • Disposer d'une équipe dédiée au contrôle des ES permettant d'attester l'atteinte des objectifs tels que définis dans les différents domaines.
  • Maintenir le niveau acquis via l'atteinte d'objectifs considérés comme le "Socle Cyber".
  • Limiter les risques d'usurpation de l'identité numérique des professionnels pour l'accès aux services sensibles, conformément au Référentiel d'identification électronique de la PGSSI-S.
  • Intégrer la cybersécurité dans l'élaboration des référentiels sectoriels pour toutes les solutions utilisées par les établissements (ES et ESSMS) et professionnels de santé (PS).

CAPSI vous propose :

Accompagnement à l'identification d'outils d'audits de vulnérabilité