Cybersécurité dans le secteur de la santé et du médicosocial

Article

Cybersécurité dans le secteur de la santé et du médico-social : une priorité nationale pour réussir la transformation numérique.

Le plan de renforcement de la cybersécurité 

L’objectif est d’accompagner les structures de santé dans la sensibilisation des personnels, dans la durée et l'adoption de nouveaux comportements, individuels et collectifs, nécessaires pour protéger le système de soins des risques cybers et renforcer la confiance numérique. 

Ce plan s'articule autour de trois niveaux d'actions :

  1. Le ministère assure le pilotage de la campagne, en coordination avec l’ANSSI et en lien avec les représentants du secteur de la santé (fédérations, conférences, etc.).
  2. Les ARS déclinent cette campagne sur leurs territoires régionaux de santé, jusqu’au niveau des structures de santé en partenariat avec le GCS e-santé Bretagne 
  3. Chaque structure sensibilise l’ensemble de son personnel et les usagers à la cybervigilance, aux règles d’hygiène numérique, et aux enjeux de cybersécurité.

Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements

Les ARS déclinent la politique ministérielle de cybersécurité autour de 4 axes :

1. Sensibiliser aux risques cyber.

2. Faciliter le partage des pratiques et les actions de mutualisation (région et GHT).

3. Appuyer les structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber.

4. Contrôler :

  • par la production d’audits de sécurité et d’un plan de réduction des vulnérabilités,
  • la prise en compte de la protection des données et de la SSI, dans les projets SI-e-Santé et dans les investissements SI,
  • la préparation des ES (PCA numérique et plan de réponse à incident, prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
  • la déclaration systématique des incidents cyber par les établissements de santé.

Nouveauté : L'obligation de déclaration des incidents significatifs ou graves de sécurité des systèmes d'information (SI) a été étendue aux établissements médico-sociaux, et la procédure associée au traitement de ces signalements a été précisée dans une instruction publiée au Bulletin officiel (BO) le 31 mai.

La déclaration de l'incident SI se fait via le portail de signalement des évènements indésirables

Aller plus loin

Documents à télécharger

Liens utiles

Mots clés

Voir Aussi

Programme SUN-ES (2021-2023)
Mon espace santé
Programme SONS
ESMS numérique (2021-2025)