Les conséquences des cyberattaques dans le secteur de la santé sont potentiellement dévastatrices. Outre les pertes financières considérables, ces attaques peuvent entraîner des retards dans les soins, des erreurs médicales et même des pertes de vies humaines (attaque ayant frappée la clinique universitaire de Düsseldorf en 2020).
Le programme CaRE (Cybersécurité accélération et Résilience des Établissements) lancé en 2023 est un plan d’actions visant à élever le niveau de maturité des établissements de santé et renforcer leur résilience face aux cyberattaques.
Il s’organise en quatre piliers :
- Gouvernance et Résilience
- Ressources et mutualisation
- Sensibilisation
- Sécurité opérationnelle
La première phase visait à faire l’état des lieux des principales vulnérabilités et à financer des audits au sein des établissements de santé. 85% des établissements éligibles ont candidaté ce qui démontre la forte implication des établissements dans l’élévation de leur niveau de sécurité.
Entre 2023 et 2024, plus de 2250 exercices de gestion de crise ont également été réalisés au sein des établissements candidats grâce à un « kit d’exercice de crise » comprenant méthodologies et ressources documentaires pour aider à démarrer une démarche de cybersécurité (politiques de sécurité, fiches réflexes, outils de sensibilisation). D’abord trop général, ce kit a récemment été adapté pour mieux correspondre à la réalité du terrain en tenant compte des retours d’expériences professionnels et pour couvrir tous les aspects de la gestion de crise (organisation de la cellule décisionnelle, PCA/PRA, communication et coordination). La difficulté de l’exercice peut également être adaptée.
La seconde phase du programme, annoncé le 11 mars 2025 par le ministère de la santé et de l’accès aux soins, a pour objectif de renforcer la résilience des établissements face aux attaques les plus courantes comme les rançongiciels en finançant et testant les stratégies de continuité et de reprise d’activité notamment (plan blanc par exemple).
L’appel au financement est piloté par les ARS qui valident les projets des établissements de santé et assurent le suivi des engagements pris. Les GRADeS sont également impliqués dans le processus et assurent un soutien technique et d’expertise auprès des établissements dans leurs démarches.
Le second volet du programme CaRE, contribuera également à aider les établissements de santé à adopter le niveau de sécurité requis par la directive NIS 2, dans la continuité de l’application de la directive NIS 1.
Sources
- https://www.usine-digitale.fr/article/cybersecurite-vers-une-montee-en-competence-des-etablissements-de-sante-grace-aux-exercices-de-crise.N2231077
- https://esante.gouv.fr/strategie-nationale/cybersecurite
- https://sante.gouv.fr/actualites/presse/communiques-de-presse/article/appui-inedit-a-la-cyber-securite-des-etablissements-de-sante-lancement-du
- https://www.usine-digitale.fr/article/avec-care-le-gouvernement-veut-proteger-efficacement-le-secteur-de-la-sante-contre-les-attaques.N2205504
- https://cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-010.pdf
- https://www.auvergne-rhone-alpes.ars.sante.fr/le-plan-blanc-en-etablissements-de-sante
- https://www.ticsante.com/Story?Id=7615
