La santé connaît un véritable essor des usages numériques, depuis les cabinets libéraux jusqu’à l’hôpital. De fait, les risques de cyber malveillance augmentent aussi. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME. Les signalements réalisés auprès du CERT Santé démontrent que l’état de la menace ne faiblit pas.
Ces derniers mois, des attaques massives ont ciblé certains établissements de santé et ont eu des conséquences directes sur l’organisation des services et la prise en charge des patients. Le retour à la normale peut prendre plusieurs mois et nécessite souvent des investissements importants, humains et financiers, pour les établissements victimes.
Aurélien Rousseau, ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé du Numérique, se sont rendus lundi 18 décembre 2023 au centre hospitalier (CH) de Versailles, afin de présenter l’action du ministère de la Santé et de la Prévention pour protéger les établissements de santé face à la menace cyber, et revenir sur l’impact de l’attaque subie par le CH de Versailles le 3 décembre 2022.
Depuis plusieurs mois, un groupe de travail réunissant des experts de terrain travaille, à la demande du ministre, à la construction d’un plan d’action sans précédent pour renforcer la cybersécurité des établissements de santé et des structures médico-sociales.
Ce plan d’actions, appelé CaRE, vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins.
Le programme doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit le double objectif :
- éviter que les attaques aboutissent ;
- et permettre aux établissements de s’en relever le plus rapidement possible.
Dès cette fin d’année 2023, le ministre Aurélien Rousseau a annoncé un premier appel à projets doté de 60M€ qui permettra aux établissements de financer des plans dits de « remédiation cyber », afin de répondre aux failles exploitables par les attaquants et ainsi de réduire le risque d’intrusion et la diffusion des logiciels malveillants dans le système d’information de l’établissement.
L’ensemble des actions portées dans le cadre du programme CaRE est présenté dans le plan d’actions et la synthèse publiés ici.