Le ministre des Solidarités et de la Santé, Olivier Véran, et le secrétaire d'État chargé de la Transition numérique et des Communications électroniques, Cedric O, se sont rendus le 22 février à Villefranche-sur-Saône pour détailler la mise en œuvre du renforcement de la stratégie du Gouvernement concernant la sécurité des réseaux informatiques des établissements de santé.
Depuis deux ans, le ministère des Solidarités et de la Santé a engagé une mise à niveau de la sécurité des systèmes d’information des établissements de santé. Les attaques récentes sur les établissements de santé démontrent la nécessité d’aller plus loin.
Dans le cadre de la stratégie Cyber présentée le 18 février dernier par le président de la République, le Gouvernement renforce sa stratégie de cybersécurité à destination des établissements sanitaires et médico-sociaux pour un montant d’au moins 350 M€.
Cédric O, secrétaire d'État chargé du Numérique :
Si aujourd’hui la situation est maîtrisée à Villefranche et Dax, il faut malheureusement s’attendre à d’autres attaques. Face à l’urgence, nous renforçons notre action et complétons les travaux engagés depuis deux ans. Ainsi, nous mettons en place un accompagnement renforcé des établissements de santé face à la menace. La réalisation d’audits par l’ANSSI pour permettre la montée en sécurité des systèmes d’information des établissements de santé est essentielle. La prévention et la construction d’une réponse adaptée sont au cœur de notre stratégie nationale pour la cybersécurité.
Un investissement massif dans la cybersécurité des systèmes d’information
Le Ségur de la santé a prévu une enveloppe de 2 milliards d’euros d’investissements pour accélérer la numérisation des établissements de santé et médico-sociaux. Cela doit permettre :
- d’accompagner leur transition numérique,
- de moderniser les systèmes d’information existants,
- de renforcer leur interopérabilité, leur convergence et leur sécurité.
Dans ce cadre, 350 M€ seront spécifiquement dédiés au renforcement de la cybersécurité de ces structures.
Un accompagnement renforcé
En plus des 350M€ prévus dans le cadre du Ségur de la santé, la stratégie nationale pour la cybersécurité annoncée le 18 février a attribué à l’agence nationale de la sécurité des systèmes d'information (ANSSI) une enveloppe budgétaire de 136 M€ pour renforcer la cybersécurité de l’État. Sur cette enveloppe déjà dédiée à la cybersécurité, 25 M€ seront spécifiquement consacrés à la sécurisation des établissements de santé pour la réalisation d’audits susceptibles de les accompagner dans leur démarche de cybersécurisation.
Ce financement permettra également :
- d’accélérer le déploiement du « service national de cyber surveillance en santé » en partenariat avec l’agence du numérique en santé (ANS),
- de développer les moyens du dispositif « cyber veille en santé » pour augmenter les capacités de réaction et d’appui aux structures de l’ANS en cas d’incidents ou de cyberattaques.
Une meilleure prise en compte de la cybersécurité dans les projets de systèmes d’information
Face à l’augmentation de la menace, il n’est plus possible de faire de la cybersécurité une variable d’ajustement des projets informatiques des établissements de santé. Ainsi, aucun projet ne pourra désormais faire l’objet d’un soutien de la part de l’État, si une part de à 5 à 10% de son budget informatique n’est pas dédiée à la cybersécurité.
Un renforcement de la formation, de l’information et de la sensibilisation des acteurs
La sensibilisation à la cyber sécurité sera intégrée dans tous les cursus de formation des acteurs en santé, afin de conforter les pratiques « d’hygiène numérique ». Ceci, dans un contexte de renforcement de la convergence et de l’interopérabilité des systèmes d’information et de la fluidité du parcours ville-hôpital.
Des exigences de sécurité informatique renforcées pour 135 groupements hospitaliers territoriaux
D’ici 3 mois, 135 groupements hospitaliers français seront intégrés à la liste des « opérateurs de service essentiels ». Ce classement implique des règles de sécurité informatique plus strictes et la contrainte d’appliquer aux systèmes d’information les meilleures pratiques de cybersécurité.
L’ agence nationale de la sécurité des systèmes d'information (ANSSI) sera chargée de contrôler le bon respect de ces règles. Les agences régionales de santé (AES) accompagneront les établissements pour les aider à se conformer à ces nouvelles obligations.
Presse
Communiqué - Sécurité des réseaux informatiques des établissements de santé : le Gouvernement renforce sa stratégie - 22/02/2021 [PDF; 954 Ko]
