Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements
Les ARS déclinent la politique ministérielle de cybersécurité autour de 4 axes :
Accompagner les structures sanitaires et médico-sociales dans les programmes nationaux d'appui au durcissement de leurs systèmes de défense et dans l'acquisition de solutions régionalisées de gestion de la cybersécurité.
Faciliter le partage des pratiques et les actions de mutualisation (région et GHT).
Appuyer les structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber.
Contrôler :
- par la production d’audits de sécurité et d’un plan de réduction des vulnérabilités,
- la prise en compte de la protection des données et de la SSI, dans les projets e-Santé et dans les investissements SI,
- la préparation des ES (PCRA numérique et plan de réponse à incident, prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
- la déclaration systématique des incidents cyber par les établissements de santé.
Déclaration des incidents significatifs ou graves de sécurité des systèmes d'information : elle concerne les établissements sanitaires et a été étendue aux établissements médico-sociaux; la déclaration de l'incident SI se fait via le portail de signalement des évènements indésirables.
Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé.
Domaine 1 - Audits techniques
Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts. Le Domaine 1 vise à :
- atteindre un premier niveau de remédiation de l'exposition sur Internet ;
- atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- se préparer au risque d’une cyberattaque ;
- s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Le secteur social et médico-social fait aujourd’hui l’objet d’un fort développement des usages numériques mais il est confronté aux risques cybersécurité, pouvant impacter le quotidien des professionnels de santé et mettre en péril la prise en charge du résident.
Un guide pour les établissements et services médico-sociaux
Dans le cadre du plan national de renforcement de la cyber-sécurité du secteur de la santé, un guide de cyber-sécurité est disponible pour accompagner les structures sociales et médico sociales dans leur démarche de sécurité numérique; ce guide présente, en treize questions, des mesures accessibles pour une protection globale des Établissements et Services sociaux et médico-sociaux (ESSMS) qui leur permettront d’accroître leur niveau de sécurisation et de sensibiliser leurs équipes aux bons gestes à adopter.
Télécharger le guide cyber-sécurité pour les ESSMS
Vous trouverez également le dossier d'information de l'ANS sur la cybersécurité dans le secteur de la santé et du médico-social ici : Dossier d'information de l'ANS sur la cybersécurité dans le secteur de la santé et du médico-social
Exercices de gestion de crise cybersécurité - Appel à manifestation d'intérêt
La réalisation d’exercices de gestion de crise cybersécurité au sein des établissements de santé et des structures médico-sociale est l’une des actions prioritaires du plan de renforcement cybersécurité du ministère de la santé et de la prévention.
En effet, les cyberattaques visant les établissements de santé se multipliant depuis plusieurs années, il y a une réelle nécessité de sensibilisation et de préparation de tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité dans leurs contextes particuliers.
Pour répondre à ce besoin, l'ARS Bretagne lance un appel à manifestation d'intérêt régional à destination des organismes gestionnaires des établissements sociaux et médico-sociaux portant sur la réalisation d'un exercice de gestion de crise cybersécurité. L'exercice à réaliser est un exercice de continuité d'activité dont l'élément déclencheur est un incident cybersécurité. A ce titre, il doit permettre d'évaluer la capacité de l'organisme gestionnaire à poursuivre son activité de prise en charge des résidents dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impliquer la direction générale et les directions métiers de l'OG.
Afin que les établissements puissent être accompagnés dans cette démarche, l’ARS Bretagne allouera une subvention forfaitaire aux 32 OG qui seront retenues dans le cadre de cet appel à manifestation d'intérêt. Celle-ci permettra de couvrir en partie le coût de l’accompagnement par un prestataire référencé.
Des kits « exercices de crise cybersécurité » prêts à l’emploi et autoporteurs ont également été élaborés afin de faciliter l’organisation de ces exercices. Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en terme de cybersécurité :
- Kit débutant
- Kit intermédiaire
- Kit expert
Ces kits sont disponibles sur Cybersécurité de la santé | e-santé (esante.gouv.fr)
Afin de choisir le kit adapté, le niveau de maturité cybersécurité de l’établissement doit être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.
Plus d'information concernant l'AMI exercice de gestion de crise cyber : AMI
Gestion de crise cyber : un exercice à réaliser annuellement sur le secteur sanitaire
Les établissements continuent à être la cible d’attaques informatiques (296 incidents d’origine malveillante signalés au CERT-Santé en 2023), touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant depuis plusieurs années s’est encore renforcé en raison des tensions internationales. L’augmentation de l’usage du numérique dans la santé augmente l’exposition des établissements du secteur aux cyberattaques, plaçant ainsi la santé dans le top 5 des secteurs les plus touchés (cf. ANSSI, Panorama de la cybermenace 2023).
L’impact de ces attaques est considérable. Elles entraînent des coûts importants pour remettre en service les SI en mobilisant prestataires et éditeurs. Elles mobilisent jour et nuit des équipes techniques mais aussi métier; sans compter les impacts heureusement souvent limités sur la disponibilité de l’offre de soins et en conséquence les pertes de chance.
Il y a donc une réelle nécessité de sensibilisation et de préparation de tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité dans leurs contextes particuliers. Pour répondre à ce besoin, un groupe de travail réunissant l’Agence du Numérique en Santé, le FSSI ainsi que les ARS et les GRADeS a élaboré des kits d'exercice de crise cybersécurité prêts à l'emploi et autoporteurs pour faciliter l’organisation d’exercices au sein des structures de santé.
Pour s’adapter au plus grand nombre de contextes, ces kits ont été éprouvés in situ dans des établissements de santé et structures médico-sociales informatisées de tailles et d’organisations différentes. Ainsi, les structures pourront envisager une réalisation autonome des exercices ou opter pour une réalisation assistée par un prestataire externe.
Ces kits sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte.
Chaque kit est prêt à l’emploi. Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins. Il est divisé en trois parties:
- un kit participant – Ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts de la cybersécurité. Il doit être partagé avec eux en amont de l’exercice ;
- un kit de communication – Ce kit permet de communiquer au mieux auprès des participants à l’exercice pour en expliquer la démarche et mobiliser les acteurs ;
- un kit animateur – Ce kit permet à tout animateur (interne ou externe) de pouvoir animer en autonomie l’exercice au sein de la structure. Découvrez-le en images à travers la vidéo de présentation présente dans le kit.
Les ressources compétentes pour la gestion du numérique au sein des établissements sanitaires, sociaux et médico-sociaux sont rares et la mobilisation d’une enveloppe budgétaire dédiée au volet numérique permettant de répondre aux enjeux de sécurité des systèmes d’information n’est pas systématique.
Depuis décembre 2022, la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS) rassemblent et coordonnent l’ensemble des parties prenantes en charge de la cybersécurité pour le secteur de la santé dans l’objectif de rendre les établissements plus résilients et mieux préparés aux risques de cyberattaques. Ces travaux ont abouti à l’élaboration du programme CaRE « Cybersécurité, accélération et résilience des établissements » qui décline un plan d’action concret et ambitieux pour la période de 2023 à 2027 comportant quatre axes :
1. Gouvernance et résilience ;
2. Ressources et mutualisation ;
3. Sensibilisation ;
4. Sécurité opérationnelle.
L’axe 2 s’intéresse à l’adéquation, les compétences et la pérennisation des ressources dans les établissements agissant dans le secteur numérique et de la cybersécurité. Il vise à répondre à la rareté des ressources cyber, notamment en les mutualisant entre les établissements.
Dans cette optique, l’ARS Bretagne œuvre pour la mise en place d’un Centre Régional de Ressources Cybersécurité (CRRC) dans le souci d’éviter tout recouvrement avec des services qui seraient déjà proposés par la puissance publique.
Le CRRC a pour but de mettre à disposition des établissements sanitaires, sociaux et médico-sociaux de la région une offre organisationnelle et technique de services dédiée au renforcement de la cybersécurité des établissements : celle-ci doit répondre à des besoins identifiés comme prioritaires.
Pour cela, l’ARS Bretagne s’appuie sur le groupement régional d’appui e-santé bretagne (GRADeS).