Évolution réglementaire Ségur de la Santé : Cybersécurité
Nous vous proposons de faire un point de situation concernant la stratégie gouvernementale décidée suite aux récents évènements de cybersécurité qui ont impacté certains établissements de santé et qui ont défrayé la chronique à l’occasion d’un grand battage médiatique.
Le Ségur de la Santé
Courant février, le Président de la République et le Ministre de la Santé ont exposé publiquement un grand plan national très ambitieux couvrant la thématique de la numérisation des établissements de santé et médico-sociaux, et ont affecté une partie de ce plan au renforcement de la cybersécurité de ces structures.
Plus concrètement, le découpage budgétaire qui a été identifié pour les établissements de santé se répartit comme suit :
- Budget Global -> 2Milliards €
- Cyber Sécurité Santé -> 350 Milliards €
- Audits ANSSI Santé -> 25 Milliards €
- Cert-Santé -> Non défini
L’écosystème de la sécurité informatique concernant les systèmes d’information sous responsabilité ou tutelle de l’état a reçu une dotation budgétaire pour lui permettre de prendre en charge des prestations à une échelle plus importante que par le passé :
- L’ANSSI (Agence nationale de la sécurité des systèmes d’information) devient un acteur public de premier plan concernant le secteur santé. La réglementation concernant les établissements de soins publics évolue et leur confère un statut d’OSE (Organisme de Services Essentiels) qui définit un nouveau référentiel de bonnes pratiques en matière de sécurité informatique, dont la conformité sera encadrée par l’ANSSI, qui peut faire intervenir d’autres acteurs publics ou privés concernant le déploiement des contremesures identifiées.
- La cellule ACSS (Accompagnement Cyber sécurité des Structures de Santé) est rebaptisée CERT-Santé et se voit attribuer une mission de « service national » de cybersécurité sous forme d’audits de l’exposition sur Internet des systèmes d’information des structures de santé, dans le but de réduire le risque d’attaque cyber. Le CERT Santé mène également des actions de prévention ciblées sur des menaces spécifiques et propose des services visant à améliorer la sécurité du SI (messagerie en particulier). Cette cellule est directement reliée au portail de signalement « signalement social santé » et peut également mobiliser différents acteurs pour apporter une première analyse des évènements signalés. La cellule ACSS publie également un rapport annuel d’observation des incidents de cybersécurité déclarés. Pour l’année 2020, le document est disponible ici.
D’autres annonces viennent compléter ce dispositif principal, au rang desquelles nous trouvons :
- L’instauration d’une règle de gouvernance de projets informatiques : le soutien de la part de l’État n’est possible que si une part de à 5 à 10% du budget informatique est dédiée à la cybersécurité.
- L’annonce, à horizon 2022, de la stratégie d’intégrer la sensibilisation à la cybersécurité dans tous les cursus de formation des acteurs en santé pour développer les pratiques « d’hygiène numérique » (financement indéterminé).
Le plan France Relance
Depuis le mois d’avril, dans le cadre du plan « France Relance », toute structure publique peut solliciter l’ANSSI dans le cadre d’un encadrement de la gouvernance de la sécurité du système d’information appelé « parcours de cybersécurité« . Bien que cette offre d’accompagnement ne soit pas exclusivement réservée aux établissements de soins (toute collectivité locale peut également y prétendre), les établissements de soins sont bien entendu éligibles, ainsi que les acteurs médico-sociaux qui sont explicitement identifiés.
Du point de vue opérationnel, l’ANSSI qualifie les besoins et procède à une mise en relation avec des acteurs tiers du marché. Les parcours, in fine, sont fournis par des prestataires de cybersécurité choisis par les établissements bénéficiaires pour travailler à leur profit : la contractualisation s’effectue directement entre le bénéficiaire et le prestataire identifié.
Concernant le financement des opérations, il est à noter que l’ANSSI donne une « impulsion financière« , mais il est clairement indiqué que, quelle que soit l’offre, un co-financement par le bénéficiaire est systématiquement demandé. De plus, l’ANSSI demande un investissement pérenne de 5% du budget informatique consacré à la cybersécurité comme condition d’octroi de sa participation financière.
Les établissements de soins du secteur privé et associatif ne seront pas oubliés, car il est prévu, à l’horizon 2024, que l’ANSSI supervise la création de CSIRT (Computer Security Incident Response Team) à raison de 1 par région. Ce service sera accessible aux entreprises privées et associations d’envergure, et prévoit de leur proposer un premier niveau d’information en cas de sinistre et une mise en relation avec des partenaires de proximité, prestataires et partenaires tiers, en fonction des circonstances. La création de ces structures est toutefois subordonnée à l’implication du conseil régional pour chaque région concernée. L’ANSSI subventionnera le démarrage des structures portées par les conseils régionaux.
Le code de santé publique prévoit que tous les établissements, publics, privés, ESMS sous toutes formes juridiques signalent leurs incidents informatiques sur le portail dédié : https://signalement.social-sante.gouv.fr/.
Certains établissements, principalement le secteur public à l’heure actuelle, peuvent ainsi recevoir de l’aide des acteurs publics désignés par l’autorité de tutelle.
Pour tous les établissements, le portail « cyberveille » (https://www.cyberveille-sante.gouv.fr/) met à disposition des responsables informatiques un ensemble d’informations sur l’actualité cyber, ainsi qu’un corpus documentaire décrivant les mesures, politiques et modes opératoires utiles en prévention vis-à-vis des cyberattaques (publication des bulletins de sécurité sur les technologies, des alertes de sécurité et des documents d’appui à la gestion de la sécurité, etc…).
Écrit par Christophe MILLET, Cyber Risk Manager Relyens.
En savoir plus les enjeux cyber
- L’intelligence artificielle au service de la sécurité au bloc opératoire,
- La révolution tranquille de la santé : 5 nouveaux défis pour l’avenir de la gestion des risques,
- La numérisation dans les hôpitaux implique de nouveaux risques physiques,
- Améliorer les pratiques au bloc opératoire grâce à des technologies numériques innovantes,
- Protection du risque informatique : quelles sont les règles européennes.