Elodie Chaudron
Directrice de Programme à l'Agence du Numérique en Santé
🐙 Une des premières initiatives nationales a été de favoriser la résilience des établissements de santé au moyen d’un programme de simulation de crises numériques. Un an après la mise en oeuvre de ce dispositif, quels retours pouvez-vous en faire ?
👉 Ce que je retiens de cette première initiative, c’est qu’il y a une très belle mobilisation à tout niveau, parce qu’il y existe un réel besoin au niveau local. À l’échelon national, nous savions qu’il était important de généraliser ce type d’exercice de gestion de crise, dans le plan de renforcement cybersécurité. Au niveau régional, les ARS et les GRADeS ont pris le pas.
À fin décembre 2023, plus de 58 % des établissements sanitaires avaient organisé un exercice de crise.
Dans les établissements de santé, ces exercices de gestion de crise représentent un véritable outil de sensibilisation et de formation de l’ensemble des équipes métier et permettent de valoriser la cybersécurité dans la dimension stratégique
et de gouvernance.
Dans les années qui viennent, nous allons devoir aller encore plus loin, et poursuivre cette initiative avec d’autres outils comme le plan de continuité et de reprise d’activité.
Le programme CaRE s’articule ainsi autour des deux points suivants :
- accompagner les établissements à se préparer, à réagir et à s’organiser à une cyberattaque ;
- renforcer la sécurité opérationnelle pour pallier la dette technologique des établissements.
🐙 En quoi la sécurité numérique est-elle devenue un enjeu de santé publique ?
👉 L’usage du numérique en santé est de plus en plus important, dans tous les secteurs d’activité et aussi dans tous nos parcours de santé, dans les établissements, dans les hôpitaux, les cliniques, etc.
Nous devons garantir collectivement que l’usage du numérique se fasse dans le respect des exigences de sécurité. Il y a deux raisons à cela :
Lorsqu’il y a une cyberattaque, les outils numériques ne peuvent plus être utilisés pour une durée plus ou moins longue, ce qui signifie que les organisations doivent, si elles en sont capables, fonctionner en mode dégradé. Cela a forcément un impact sur la prise en charge et sur la sécurité des patients.
L’autre raison est le risque de vol de données, de revente et de chantage. Le secteur de la santé reste particulièrement sensible et le risque de cyberattaque ne doit pas continuer d’être perçu comme lointain. Tous les professionnels du monde de la santé doivent avoir conscience qu’il s’agit d’un risque véritablement concret et bien réel.
Donc oui, la sécurité numérique est un véritable enjeu de santé publique.
🐙 Comment est né le programme CaRE ?
👉 En décembre 2022, une réunion interministérielle a fait suite à deux grosses cyberattaques très médiatisées, celle du Centre Hospitalier Sud Francilien et celle du Centre Hospitalier de Versailles. Une réunion ministérielle a ainsi réuni toutes les parties prenantes, à savoir, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), l’ANS (Agence du Numérique en Santé), la DNS (Délégation du Numérique en Santé) et la DGOS (Direction générale de l’offre de soins).
Cette réunion a abouti par la délégation d’une mission à la DNS : piloter une task force cybersécurité et livrer une feuille de route pour les cinq ans à venir. C’est le plan d’action CaRE.
L’ANS était mobilisée de manière assez naturelle par la DNS car elle est historiquement investie dans la cybersécurité, notamment dans son rôle de régulation avec la Politique générale de sécurité des systèmes d’information de santé, mais aussi avec son rôle de veille et de réponse aux incidents d’accompagnement des établissements des secteurs sanitaire et médico-social, avec son équipe du CERT Santé.
Nous avons donc rapidement constitué une task force cœur qui a rassemblé, sous l’égide du haut fonctionnaire de défense et de sécurité (HFDS), toutes les parties prenantes qui avaient été invitées à cette réunion interministérielle :
- l’ANSSI, pour son expertise interministérielle, qui va
nous guider avec l’évolution du cadre réglementaire,
notamment avec la future directive NIS2 ; - la DGOS, dans le souci de se coordonner et donner un
sens métier à l’ensemble des actions ; - l’ANS, pour son pôle d’expertise, le CERT Santé, avec un
focus sur la sécurité opérationnelle ; - mais aussi des représentants des ARS et des GRADeS qui sont chargés du déploiement de toute la mission.
Dès le démarrage des travaux, nous avons rassemblé ces acteurs et l’écosystème, notamment avec les fédérations hospitalières et du secteur médico-social, des représentants d’établissements, des directeurs, des présidents de CME, des DSI, des RSSI, des directeurs qualité, mais également des industriels.
Tout cela dans l’objectif de pouvoir proposer un plan d’action qui montre l’ambition de nous dresser collectivement contre la cybermenace, et ce, de manière coordonnée et de manière déterminée.
🐙 Quels sont les grands axes stratégiques de ce programme quinquennal ?
👉 Le programme CaRE s’articule autour de quatre grands axes stratégiques :
- gouvernance et résilience ;
- ressources et mutualisation ;
- sensibilisation ;
- sécurité opérationnelle.
1️⃣ Concernant le premier axe, gouvernance et résilience, nous avons travaillé à la préparation des établissements, avec notamment les exercices de crise. Notre objectif est que la cybersécurité devienne un sujet réellement intégré dans la gouvernance des établissements, un sujet stratégique, présent dans les projets d’établissement et dans les orientations budgétaires.
Cet axe concerne également l’évolution du référentiel de certification de la Haute Autorité de Santé avec la mise en œuvre de toute une équipe d’experts visiteurs numériques pour les visites de certification des établissements, mais aussi tout un travail sur le plan de continuité et de reprise d’activité.
2️⃣ Le deuxième axe, ressources et mutualisation, souligne que nous n’ignorons pas la véritable pénurie de ressources et de compétences numériques et en sécurité des systèmes d’information dans les établissements.
Il s’agit ici de rendre notre secteur de santé plus attractif pour attirer les talents. Tout un travail est en cours au niveau du ministère, avec pour objectif de faire évoluer les grilles salariales des ingénieurs hospitaliers par exemple, mais aussi de mobiliser l’ensemble des outils de la gestion des compétences. Nous n’allons pas attirer toutes les compétences en claquant des doigts et, dans l’attente, il faut identifier d’autres opportunités. Nous allons ainsi tenter d’agir sur la mutualisation et nous appuyer sur des ressources qui sont aujourd’hui déjà mises à disposition ou qui peuvent être proposées de manière mutualisée.
Nous voulons favoriser le développement des centres de ressources régionaux, bras armés des ARS pour décliner la stratégie nationale de santé numérique et de cybersécurité au niveau régional.
3️⃣ Le troisième axe, sensibilisation, est essentiel pour trois cibles.
Les décideurs doivent prendre conscience que la cybersécurité n’est pas une option, mais véritablement un composant obligatoire, fondamental pour la sécurité des prises en charge, pour la continuité des soins des patients.
Notre deuxième cible est constituée des équipes IT qui doivent comprendre les enjeux et objectifs du programme et les moyens mis à disposition pour pouvoir se lancer dans les différentes étapes du programme.
Notre troisième cible, ce sont tous les professionnels qui agissent au sein des établissements, dans le souci que leur usage quotidien soit bien conforme aux bonnes pratiques d’hygiène informatique. Nous sommes sur une campagne “Tous cybervigilants !”, avec cette ambition de pouvoir informer et donner un bon niveau de sensibilisation à l’ensemble des professionnels de santé.
Un nouveau volet autour des formations obligatoires est apparu depuis l’année dernière, avec des modules numériques et cybersécurité obligatoires dans les formations initiales et continues de tous les professionnels de santé, qu’ils soient médicaux ou non médicaux et des décideurs.
4️⃣ Le quatrième axe, la sécurité opérationnelle, vise à rattraper le retard, à pallier la dette technologique des établissements.
Pour soutenir ce renforcement, nous allons lancer des appels à financement dits de rattrapage. L’objectif est de faire des petits pas, en ouvrant un premier appel à financement avec des objectifs atteignables pour tous. À l’atteinte des objectifs, nous délivrerons le forfait de financement.
Les régions devront être très présentes pour pouvoir accompagner les petits établissements et mettre à disposition de l’offre et de la ressource.
Nous sommes dans cette démarche itérative qui nous permettra d’homogénéiser la maturité en cybersécurité pour l’ensemble des établissements. Notre ambition collective est que le ministère se mobilise pour permettre d’octroyer systématiquement de manière pérenne des budgets vraiment fléchés sur le numérique et sur la cybersécurité.