En février 2024, l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) a publié son panorama de la cybermenace pour 2023 et le constat est édifiant : les attaques par rançongiciel (chantage contre rançon) ont augmenté de plus de 30% par rapport à l’année 2022. Au regard de cette augmentation significative, le gouvernement s’est emparé du sujet et a dévoilé le programme CaRE « Cybersécurité accélération et Résilience des Établissements » fin 2023 qui s’inscrit dans le cadre de la feuille de route du numérique en santé. La centrale d’achat de l’informatique hospitalière (CAIH) s’est également saisie de ces sujets depuis de nombreuses années. CAIH propose des solutions concrètes, s’inscrivant dans le cadre du programme CaRE, afin d’aider ses adhérents à se prémunir et à réagir face aux cyberattaques. Ces solutions s’inscrivent dans le cadre du programme CaRE.
La cybersécurité, un enjeu clé pour les hôpitaux
Les hôpitaux sont dans le top 3 des victimes récurrentes de cyberattaques
a déclaré Vincent Strubel, Directeur général de l’ANSSI au micro de France Info le 27 février dernier. En effet, les établissements de santé sont des cibles privilégiées des cyberattaques, en raison de la nature sensible des données qu’ils détiennent et de leur importance critique pour le bon fonctionnement du système de santé.
Les cyberattaques dans les hôpitaux peuvent paralyser tout ou une partie des systèmes d’information hospitaliers (SIH). Concrètement, cela peut se traduire, par exemple, par un écran noir en admission et l’impossibilité de vérifier qu’il s’agit de la bonne personne ou de consulter son motif de consultation. Dans ces situations, il est alors primordial de se concentrer sur l’essentiel : les urgences vitales ainsi que la continuité des soins pour les patients hospitalisés.
Dans la plupart des cas, les hôpitaux sont visés par des attaques par rançongiciel (ou « ransomware » en anglais). Il s’agit d’un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.
La mise en place du programme CaRE
Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé »
peut-on lire sur le site du Ministère du Travail, de la Santé et des solidarités.
Ce programme, qui a été lancé le 18 décembre 2023, poursuit un double objectif : D’une part, rendre les établissements de santé plus résilients et d’autre part, mieux les préparer aux risques cyber. Prévu sur cinq ans (2023-2027), ce programme est doté d’un financement total à hauteur de 750 millions d’euros d’ici 2027. Ce financement important est à la hauteur des enjeux autour de la cybersécurité des établissements de santé.
Le programme CaRE est divisé en quatre axes majeurs. Tout d’abord, on identifie un enjeu de gouvernance avec la volonté de structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant des acteurs nationaux (ANSSI, ANS, Direction générale de l’offre soins), régionaux (Agences régionales de santé) et locaux (professionnels, établissements et industriels) dans une même trajectoire coordonnée par la Délégation du numérique en santé (DNS). Dans ce cadre, des kits d’exercices de risques cyber sont fournis aux établissements afin de réaliser des exercices dans des conditions réelles.
Le deuxième axe du programme porte sur les ressources afin de pallier le manque de personnels dédiés aux systèmes d’information dans les établissements de santé en mettant en place des mesures concrètes afin d’attirer de nouveaux talents.
La thématique de la sensibilisation des équipes aux risques cyber constitue le troisième axe porté par le programme CaRE qui s’attache à fournir les ressources pédagogiques nécessaires aux directions d’établissements afin de proposer des formations sur le numérique et la cybersécurité à l’ensemble des équipes.
Enfin, le dernier axe du programme concerne la sécurité opérationnelle et vise à rattraper le retard des établissements de santé en matière de cybersécurité en publiant des appels à financement ponctuels sur des sujets prioritaires. Ce dernier axe recouvre plusieurs domaines techniques portant sur une thématique centrale.
Le premier appel à financement du programme est intitulé : « Audits techniques : Annuaires techniques et exposition sur internet » et s’adresse à tous les établissements hospitaliers qui avaient jusqu’au 19 avril 2024 pour candidater. Cet appel à financement a pour objectif principal la sécurisation de l’exposition sur internet et la maitrise des annuaires des établissements. Après étude des différents dossiers, des financements seront attribués aux établissements de santé afin d’atteindre les objectifs visant à renforcer leur résilience et leur sécurité informatique.
Les solutions proposées par CAIH en matière de cybersécurité
CAIH a mis au point plusieurs marchés afin d’accompagner les établissements de santé sur les thématiques de cybersécurité. Ces solutions s’inscrivent dans le cadre de l’appel à financement du programme CaRE et ouvrent le droit aux financements prévus par le programme pour les établissements qui y adhèrent.
Tout d’abord, le marché SOC managé qui a été conçu pour répondre aux impératifs de continuité d’activité (24/7), détecter et réagir efficacement aux menaces, maintenir et développer les compétences sécurité en interne et conserver une vigilance permanente.
Avec ce marché, nous apportons une réponse globale sur une durée de quatre ans permettant de réaliser la cartographie du système d’information, mais également de mettre en place des mécaniques de prévention et tout ce qui est système de détection des attaques, sans ressource supplémentaire. Concernant la thématique de la réponse à incidents, le marché SOC prévoit l’intervention de forces rapides : ce sont des ingénieurs qui vont venir pour récupérer des éléments de preuve afin de permettre à l’établissement de porter plainte. Ils vont également conseiller les hôpitaux sur la marche à suivre pour rétablir son système d’information. En effet, les experts en cybersécurité sont rares et la valeur ajoutée du marché SOC c’est vraiment d’externaliser cette expertise afin d’éviter aux établissements de se doter eux-mêmes d’experts en cybersécurité
déclare Régis Kaminki, Acheteur CAIH.
L’autre marché mis en place par CAIH est le marché AMOA SSI qui accompagne les adhérents dans la mise en place de la structure de gouvernance mais également dans la mise en place des dispositifs d’accompagnement et des tests techniques pour tester la viabilité du système d’information.
[1] Panorama de la cybermenace en 2023, ANSSI, février 2024