Cybersécurité : un enjeu au cœur de la santé numérique

Article

L’ARS Normandie a pour mission de définir et d’animer la politique cybersécurité auprès des établissements de santé, médico-sociaux, des professionnels de santé libéraux afin de protéger notre système de soins régional. Dans le cadre du Ségur numérique, la priorité 2024 est donc de poursuivre la démarche d'exercices de crise cyber.

L’animation de la politique cybersécurité par le Pôle Numérique en Santé se traduit par la création de nombreuses interactions avec les partenaires régionaux, tous participant à la dynamique qui s’est mise en œuvre pour :

  • renforcer la sécurité des données de santé ;
  • proposer de nouveaux services adaptés aux professionnels de santé ;
  • favoriser la cyber-résilience.

Un guide pour les établissements et services médico-sociaux

Dans le cadre du plan national de renforcement de la cyber-sécurité du secteur de la santé, un guide de cyber-sécurité est disponible pour accompagner les structures sociales et médico sociales dans leur démarche de sécurité numérique.

Le secteur social et médico-social fait aujourd’hui l’objet d’un fort développement des usages numériques.

L’accélération du numérique vise à proposer un parcours cohérent et sans rupture grâce à un partage d’informations fluide entre les différents acteurs. La disponibilité du système d’information et l’intégrité des données des usagers et des professionnels sont des enjeux majeurs pour garantir un accompagnement sécurisé dans le secteur social et médico-social. La mise en œuvre d’actions de cybersécurité est un des moyens pour répondre à ses besoins. Elle est définie comme un ensemble de moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’une organisation.

Le secteur social et médico-social est confronté aux risques cybersécurité, pouvant impacter le quotidien des professionnels de santé mais aussi la prise en charge du patient. 

Le guide de la cyber-sécurité pour le social et le médico-social présente, en treize questions, des mesures accessibles pour une protection globale des Établissements et Services sociaux et médico-sociaux (ESSMS) et leur permettront d’accroître leur niveau de sécurisation et de sensibiliser leurs équipes aux bons gestes à adopter.

Télécharger le guide cyber-sécurité pour les ESMS

Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements

La déclinaison territoriale de la politique ministérielle de cyber-sécurité par les ARS englobe tous les aspects de la sécurité numérique.

La défense du système de santé :

  • notamment par l’accompagnement des structures dans les programmes nationaux d’appui au durcissement de leurs systèmes de défense et dans l’acquisition de solutions régionalisées de gestion de la cyber-sécurité ;

La résilience du système de santé

  • notamment par la généralisation des exercices de crise au sein des établissements de santé (ES) et établissements sociaux et médico-sociaux (ESMS) et des outils de gestion de la crise tels que Plan blanc numérique, Plan de continuité d'activité (PCA), Plan de reprise d'activité (PRA) ;

La réponse institutionnelle aux incidents

  • notamment par l’accompagnement systématique des structures de santé régionales lors d’un incident, en complément de l’appui du CERT-Santé ;

La sensibilisation globale au risque Cyber

  • notamment par la mise à disposition d'un outil de sensibilisation régional et par le biais de campagnes régulières de communication.

La réalisation d’un exercice de crise cyber a 4 grands buts :

  • s’entrainer ;
  • se tester ;
  • sensibiliser ;
  • s’outiller

C’est pourquoi, le groupe de travail réunissant les ARS, GRADeS et l’Agence du Numérique en Santé (ANS) a permis de mettre en place 3 kits d’exercice autoporteurs proposant 3 niveau de complexité en fonction du niveau de maturité des différent établissements de santé et ESMS :

  • kit débutants ;
  • kits intermédiaires ;
  • kit confirmés

Comment se présente un kit ?

Un kit d’exercice comprend 3 kits :

  • kit animateur ;
  • kit participant ;
  • kit communication.

Quel processus ?

  1. Etablissement de santé : choix d’un kit via la grille d’évaluation
  2. Etablissement de santé : choix d’une prestation d’accompagnement
  3. Etablissement de santé : planification avec le prestataire + Information ARS + Mise à jour Observatoire de la sécurité des systèmes d'information des établissements de santé (OPSSIES)
  4. Etablissement de santé & Prestataire : Réalisation de l’exercice selon le niveau de kit
  5. Etablissement de santé : mise à jour OPSSIES
  6. Etablissement de santé : envoi facture et compte-rendu d’exercice à l’ARS
  7. L’ARS Normandie rembourse partiellement l’établissement (selon un quotas).

Les kits d’exercice de crise sont disponibles sur le site de l’Agence du Numérique en Santé :

Télécharger les kits
L’appui financier est prévu pour un premier exercice pour chaque structure sanitaire normande et n’a pas vocation à rembourser plusieurs exercices par structure. Un appui complémentaire est néanmoins possible si vous avez candidaté au Domaine 1 du programme CaRE.  


Le guichet de candidature du domaine prioritaire 1 est désormais ouvert pour les établissements sanitaires souhaitant participer au programme CaRE.

Lien d'inscription

 

Identification de 4 domaines techniques prioritaires pour répondre à la menace de rançongiciel et d'exfiltration de données :

Les cyberattaques récentes montrent que l’exposition internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.

L’Annuaire Technique est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.

Présentation du domaine prioritaire 1 :

But : Financer un premier niveau de remédiation et de contrôle régulier concernant l’exposition internet et la configuration des annuaires

Objectifs

  1. Maîtriser l’annuaire d’établissement ;
  2. maîtriser l’exposition internet ;
  3. se préparer au risque cyber ;
  4. s’auto évaluer en matière de maturité vis-à-vis des risques cyber ;
  5. prévoir un budget dédié au numérique ;
  6. renforcer la convergence des GHT(seulement pour les ES publics).

Foire aux questions concernant le domaine prioritaire 1 :

Qui est concerné par le D1 du programme CaRE ?

Tous les établissements de santé (publics et privés).

Quand le financement est-il envoyé ?

Le financement est réglé à l’atteinte des cibles du domaine 1.

Sommes-nous accompagnés financièrement pour les audits ?

Non :

  • 1 audit AD et 1 audit exposition internet

  • gratuits et automatisés

Avez-vous besoin d'un appui sur le domaine prioritaire 1 ?

Vous pouvez nous contacter afin de nous demander un appui sur plusieurs thématiques en remplissant ce formulaire en ligne.

 

En savoir plus sur le programme CaRE