C'est peu de dire que le secteur hospitalier n'est pas épargné par les cyberattaques. Dans toutes les régions, les établissements de santé (GHT, CH, CHR, mais aussi SSR (soin de suite et de réadaptation),...) doivent faire face à une recrudescence des attaques informatiques, très souvent de type ransomware, et sont loin d'être suffisamment équipés et préparés pour les affronter. Depuis décembre 2022, la délégation au numérique en santé et l’agence du numérique en santé rassemblent et coordonnent d'ailleurs l’ensemble des parties prenantes en charge de la cybersécurité pour le secteur au sein d'une task force cyber. Conscient de la situation, l'Etat a annoncé un plan d'action (CaRe) qui « vise à accélérer la mise à niveau des systèmes d'information hospitaliers face à l'état de la menace et à renforcer durablement la résilience des structures de soins », indique le ministère de la Santé et de la Prévention.

Présenté ce 18 décembre au centre hospitalier André Mignot de Versailles (78) en présence d'Aurélien Rousseau - ex ministre de la Santé - ainsi que Jean-Noël Barrot, ministre délégué chargé du Numérique, que contient ce plan ? Financé à hauteur de plus de 230 M€ pour 2023-2024 - extensible à 750 M€ à horizon 2027 - il s'articule autour de 4 axes (gouvernance et résilience, ressources et mutualisation, sensibilisation, ainsi que sécurité opérationnelle) répondant à 20 objectifs (préparer et accompagner les établissements à réagir et à faire face à la cybermenace, augmenter le nombre de personnels dédiés au SI dans les établissements, sensibiliser et former l'ensemble du personnel, superviser les postes de travail et détecter les intrusions, reconstituer rapidement les services critiques en cas d'incident...).

Des financements attendus de pied ferme

Dans son communiqué, le ministère de la Santé indique qu'un premier appel à financement doté de 60M€ a été annoncé « qui permettra aux établissements de financer des plans dits de remédiation cyber afin de répondre aux failles exploitables par les attaquants et ainsi de réduire le risque d’intrusion et la diffusion des logiciels malveillants dans le système d’information de l’établissement ». Il concerne le domaine « audits techniques exposition internet et annuaires techniques », soit la protection de l'AD et des services/systèmes exposés sur Internet. « Les prochains appels à financement suivront rapidement », promet le rapport.« Parmi les priorités déjà identifiées : « Poste de travail et détection » (Domaine 2), « Sécurisation des accès de télémaintenance » (Domaine 3), et « Continuité d’activité et stratégie de sauvegarde » (Domaine 4) ».