Dans le cadre de la stratégie Cyber présentée le 18 février dernier par Emmanuel Macron, le Gouvernement renforce sa stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux pour un montant d’au moins 350 M€. Parmi les objectifs prioritaires : renforcer la sécurité informatique des 135 GHT.
« Depuis le début de l’année, un établissement de santé est victime chaque semaine d’une cyberattaque. C’est pourquoi nous faisons le choix d’investir massivement dans la sécurité des systèmes d’information de santé à travers le Ségur de la Santé. L’ensemble des services du ministère des solidarités et de la santé seront mobilisées pour améliorer cette prise en compte des enjeux de cybersécurité», annonce Olivier Véran, dans un communiqué diffusé le 22 février.
« Si aujourd’hui la situation est maitrisée à Villefranche et Dax, il faut malheureusement s’attendre à d’autres attaques», estime pour sa part Cédric O, secrétaire d'État chargé de la Transition numérique et des Communications électroniques, qui promet «un accompagnement renforcé des établissements de santé face à la menace» avec notamment la réalisation d’audits par l’ANSSI pour permettre la montée en sécurité des systèmes d’information.«La prévention et la construction d’une réponse adaptée sont aux au cœur de notre stratégie nationale pour la cybersécurité»,a-t-il insisté.
Plus concrètement, «d’ici 3 mois,135 groupements hospitaliers de territoire seront intégrés à la liste des «opérateurs de service essentiels» annonce le gouvernement. Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité. L’ANSSI sera chargée de contrôler le bon respect de ces règles. Les Agences régionales de santé accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.
350 millions d'euros pour renforcer la cybersécurité des établissements de santé et médico-sociaux
Plus globalement, le Ségur de Santé a prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Ils doivent notamment permettre d’accompagner leur transition numérique, de moderniser les systèmes d’information existants, et de renforcer leur interopérabilité, leur convergence et leur sécurité. Dans ce cadre, 350 M€ seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures annonce le gouvernement.
25 M€ dédiés à la réalisation d'audits dans les établissements de santé
En plus de cette enveloppe prévue dans le cadre du Ségur, la stratégie nationale pour la cybersécurité annoncée le 18 février a attribué à l’ANSSI une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’Etat. Sur cette enveloppe déjà dédiée à la cybersécurité, 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits pour les accompagner dans leur démarche de cybersécurisation.
Déploiement du «service national de cyber surveillance en santé»
Ce financement permettra également d’accélérer le déploiement du «service national de cyber surveillance en santé» en partenariat avec l’Agence du Numérique en Santé (ANS) et à développer les moyens du dispositif «cyber veille en santé» pour augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyberattaques.
Formation et renforcement de la sécurité des pratiques numériques en santé
Du reste, face à l’augmentation de la menace, la cybersécurité ne doit plus être une variable d’ajustement des projets informatiques des établissements de santé, estime le gouvernement. Ainsi, «aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’Etat si une part de à 5 à 10% de son le budget informatique n’est pas dédiée à la cybersécurité», souligne le communiqué.
La sensibilisation à la cyber sécurité sera intégrée dans tous les cursus de formation des acteurs en santé afin conforter les pratiques «d’hygiène numérique» dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information comme de la fluidité du parcours ville-hôpital.