{"id":48146,"date":"2024-04-01T16:08:24","date_gmt":"2024-04-01T14:08:24","guid":{"rendered":"https:\/\/gestions-hospitalieres.fr\/?p=48146"},"modified":"2024-05-03T14:52:13","modified_gmt":"2024-05-03T12:52:13","slug":"renforcer-la-cybersecurite-dans-le-secteur-de-la-sante","status":"publish","type":"post","link":"https:\/\/www.ricom-web8.com\/gestions\/renforcer-la-cybersecurite-dans-le-secteur-de-la-sante\/","title":{"rendered":"Renforcer la cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9"},"content":{"rendered":"Temps de lecture\u00a0: <\/span> 4<\/span> minutes<\/span><\/span>

Alors que la dette technologique s\u2019accro\u00eet et que les cybercriminels affinent leurs comp\u00e9tences, les possibilit\u00e9s de mutualisation et de partage des ressources entre plusieurs \u00e9tablissements restent largement sous-exploit\u00e9es. Les derniers incidents ont eu un retentissement m\u00e9diatique important, mettant en lumi\u00e8re les cons\u00e9quences sur les organisations et la continuit\u00e9 des soins aux patients. Ils soulignent les d\u00e9fis rencontr\u00e9s par les professionnels de sant\u00e9 contraints de travailler dans des conditions limit\u00e9es pendant des p\u00e9riodes parfois prolong\u00e9es, ainsi que les risques potentiels pour les patients, qui peuvent n\u00e9cessiter un transfert vers d\u2019autres \u00e9tablissements. En outre, certains font \u00e9tat d\u2019une d\u00e9t\u00e9rioration de leur r\u00e9putation et de la confiance entre l\u2019\u00e9tablissement et les usagers, amplifi\u00e9e par le vol \u00e9ventuel de donn\u00e9es sensibles.<\/p>\n

Le service national CERT Sant\u00e9\u00a0<\/span><\/h1>\n

Face \u00e0 cette situation critique, le CERT Sant\u00e9, service de l\u2019Agence du num\u00e9rique en sant\u00e9 (ANS), joue un r\u00f4le central dans la lutte contre les cybermenaces. En tant qu\u2019organisme sp\u00e9cialis\u00e9, le CERT Sant\u00e9 offre un ensemble complet de mesures et d\u2019accompagnement visant \u00e0 renforcer la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information dans le secteur de la sant\u00e9.<\/p>\n

Le premier volet de son action consiste \u00e0 recueillir les signalements d\u2019incidents de s\u00e9curit\u00e9. Gr\u00e2ce \u00e0 un portail d\u00e9di\u00e9, les \u00e9tablissements de sant\u00e9 doivent signaler ces incidents afin de b\u00e9n\u00e9ficier d\u2019un appui dans leur traitement. Le CERT Sant\u00e9 analyse les signalements, les qualifie et accompagne les \u00e9tablissements dans la r\u00e9ponse aux incidents.<\/p>\n

Pour garantir une r\u00e9ponse efficace en tout temps, le CERT Sant\u00e9 a \u00e9tendu ses services en mettant en place en octobre\u00a02023 une permanence 24\u2009h\/24 et 7\u2009j\/7. Cette permanence permet aux \u00e9tablissements confront\u00e9s \u00e0 des incidents majeurs de b\u00e9n\u00e9ficier d\u2019un appui m\u00eame en dehors des heures de bureau, assurant ainsi une surveillance continue des syst\u00e8mes d\u2019information.<\/p>\n

Outre ses activit\u00e9s op\u00e9rationnelles, le CERT Sant\u00e9 joue un r\u00f4le crucial dans la sensibilisation et la coordination des acteurs du secteur de la sant\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9. En animant la communaut\u00e9 \u00ab\u2009cyberveille\u2009\u00bb et en alertant les structures, le CERT Sant\u00e9 contribue \u00e0 renforcer la r\u00e9silience collective face aux cyberattaques.<\/p>\n

En parall\u00e8le des actions du CERT Sant\u00e9, l\u2019ANS \u00e9labore des r\u00e9f\u00e9rentiels et des guides de bonnes pratiques pour garantir la s\u00e9curit\u00e9 des donn\u00e9es de sant\u00e9 et renforcer la protection des syst\u00e8mes d\u2019information dans le domaine de la sant\u00e9 (la politique g\u00e9n\u00e9rale de s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information de sant\u00e9- PGSSI-S).<\/p>\n

Dans un contexte o\u00f9 les cybermenaces continuent d\u2019\u00e9voluer, il est crucial que le secteur de la sant\u00e9 se mobilise pour renforcer sa r\u00e9silience face aux attaques informatiques. Aussi, depuis d\u00e9cembre\u00a02022, la D\u00e9l\u00e9gation au num\u00e9rique en sant\u00e9 (DNS) et l\u2019ANS coordonnent la task force<\/i> Cyber\u2009, regroupant les acteurs cl\u00e9s de la cybers\u00e9curit\u00e9 dans le secteur de la sant\u00e9. Cette collaboration implique le Fonctionnaire de s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (FSSI) des minist\u00e8res sociaux, la direction g\u00e9n\u00e9rale de l\u2019offre de soins (dgos), l\u2019agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d\u2019information (Anssi), les agences r\u00e9gionales de sant\u00e9 (ARS) et les groupements r\u00e9gionaux d\u2019appui au d\u00e9ploiement de la e-sant\u00e9 (GRADeS). L\u2019objectif est de r\u00e9pondre aux priorit\u00e9s de la feuille de route du num\u00e9rique en sant\u00e9 2023-2027 et de renforcer la cybers\u00e9curit\u00e9 des \u00e9tablissements sanitaires et m\u00e9dico-sociaux gr\u00e2ce au programme Cybers\u00e9curit\u00e9 acc\u00e9l\u00e9ration et R\u00e9silience des \u00c9tablissements (CaRE).<\/p>\n

Un plan d\u2019action pour prot\u00e9ger les \u00e9tablissements\u00a0<\/span><\/h1>\n

Gouvernance et r\u00e9silience<\/h2>\n

La structuration de la gouvernance de la cybers\u00e9curit\u00e9 implique une coordination efficace entre les acteurs nationaux, r\u00e9gionaux et locaux sous la supervision de la DNS. Cette coordination vise \u00e0 int\u00e9grer les enjeux de cybers\u00e9curit\u00e9 dans les strat\u00e9gies et les budgets des \u00e9tablissements de sant\u00e9, ainsi qu\u2019\u00e0 mettre en place des m\u00e9canismes de communication pour assurer une gouvernance harmonieuse \u00e0 tous les niveaux.<\/p>\n

Les \u00e9tablissements de sant\u00e9 sont encourag\u00e9s \u00e0 int\u00e9grer ce programme dans leurs projets d\u2019\u00e9tablissement et \u00e0 promouvoir sa visibilit\u00e9 \u00e0 travers leurs choix strat\u00e9giques et budg\u00e9taires. La formation et la sensibilisation des professionnels de sant\u00e9 \u00e0 l\u2019importance de la cybers\u00e9curit\u00e9 sont \u00e9galement des \u00e9l\u00e9ments cl\u00e9s de cette d\u00e9marche.<\/p>\n

Enfin, le renforcement de la r\u00e9silience des \u00e9tablissements passe par l\u2019identification des axes d\u2019am\u00e9lioration et le d\u00e9veloppement de plans d\u2019action pour r\u00e9pondre aux attaques informatiques. Des mesures pr\u00e9ventives et des dispositifs de surveillance sont \u00e9galement mis en place pour anticiper et pr\u00e9venir les cybermenaces potentielles, garantissant ainsi la continuit\u00e9 des activit\u00e9s en cas d\u2019incident.<\/p>\n

En int\u00e9grant ces efforts de gouvernance et de r\u00e9silience, les \u00e9tablissements de sant\u00e9 sont mieux arm\u00e9s pour faire face aux d\u00e9fis croissants de la cybers\u00e9curit\u00e9 et assurer la s\u00e9curit\u00e9 des donn\u00e9es et des services dans le secteur de la sant\u00e9.<\/p>\n

Ressources et mutualisation<\/h2>\n

La carence de talents et de ressources dans les \u00e9tablissements de sant\u00e9 et m\u00e9dico-sociaux met en lumi\u00e8re le besoin crucial d\u2019adapter, de former et de maintenir les comp\u00e9tences en mati\u00e8re de num\u00e9rique et de cybers\u00e9curit\u00e9. Des initiatives visant \u00e0 am\u00e9liorer l\u2019attractivit\u00e9 et la fid\u00e9lisation des professionnels sont en cours. Dans l\u2019attente de r\u00e9sultats \u00e0 long terme, le programme encourage la convergence et la mutualisation des ressources tout en coordonnant les actions prioritaires de mani\u00e8re unifi\u00e9e et coh\u00e9rente gr\u00e2ce \u00e0 la task force<\/i>. L\u2019objectif est de rendre accessibles \u00e0 chaque \u00e9tablissement, ind\u00e9pendamment de sa taille ou de son domaine d\u2019activit\u00e9, les services et l\u2019accompagnement n\u00e9cessaires pour r\u00e9pondre aux exigences du programme CaRE et aux \u00e9volutions r\u00e9glementaires telles que la NIS2. Ces efforts reposent sur un catalogue exhaustif des offres cyber, comprenant plus de 400 propositions disponibles sur le site de l\u2019ANS, provenant de diverses entit\u00e9s telles que l\u2019Anssi, l\u2019ANS, les GRADeS et les centrales d\u2019achat.<\/p>\n

Sensibilisation<\/h2>\n

Le programme souligne l\u2019importance de l\u2019implication de toutes les parties prenantes dans la s\u00e9curit\u00e9. Il recommande ainsi une formation obligatoire sur le num\u00e9rique et la cybers\u00e9curit\u00e9 pour tous les professionnels de sant\u00e9 et le personnel administratif, ainsi qu\u2019une sensibilisation au cadre r\u00e9glementaire et aux bonnes pratiques. Les directions d\u2019\u00e9tablissement ont un r\u00f4le crucial dans la sensibilisation et l\u2019application de ces pratiques. Le programme s\u2019engage \u00e0 fournir les ressources p\u00e9dagogiques n\u00e9cessaires pour soutenir cette d\u00e9marche.\u00a0<\/span><\/p>\n

S\u00e9curit\u00e9 op\u00e9rationnelle des \u00e9tablissements<\/h2>\n

Face aux attaques actuelles, telles que l\u2019utilisation de ran\u00e7ongiciels et l\u2019exfiltration de donn\u00e9es par des acteurs professionnalis\u00e9s, il est crucial pour les \u00e9tablissements de sant\u00e9 de renforcer leurs infrastructures. Cela implique de rem\u00e9dier aux faiblesses des syst\u00e8mes informatiques, de d\u00e9ployer des technologies de d\u00e9tection avanc\u00e9es et d\u2019am\u00e9liorer la capacit\u00e9 de reprise en cas de compromission. Le programme CaRE a identifi\u00e9 des domaines prioritaires d\u2019investissement en collaboration avec l\u2019\u00e9cosyst\u00e8me pour aider les \u00e9tablissements \u00e0 combler leur dette technologique. Parall\u00e8lement, le programme HospiConnect se concentre sur la s\u00e9curisation de l\u2019identification \u00e9lectronique des professionnels de sant\u00e9 pour limiter les risques d\u2019usurpation d\u2019identit\u00e9 dans les syst\u00e8mes d\u2019information. \u00c0 terme, il est envisag\u00e9 d\u2019attribuer un financement durable aux \u00e9tablissements qui maintiennent un niveau de s\u00e9curit\u00e9 \u00e9lev\u00e9, conform\u00e9ment aux priorit\u00e9s de la feuille de route CaRE.<\/p>\n