Le rôle des ARS : en appui du pilotage national et de la mise en œuvre réalisée au sein des établissements
Les ARS déclinent la politique ministérielle de cybersécurité autour de 4 axes :
Accompagner les structures sanitaires et médico-sociales dans les programmes nationaux d'appui au durcissement de leurs systèmes de défense et dans l'acquisition de solutions régionalisées de gestion de la cybersécurité.
Faciliter le partage des pratiques et les actions de mutualisation (région et GHT).
Appuyer les structures de santé : en lien avec la chaîne d’alerte nationale (CERT Santé) et territoriale (ARS/établissements de santé) et organiser la réponse territoriale à l’incident cyber.
Contrôler :
par la production d’audits de sécurité et d’un plan de réduction des vulnérabilités,
la prise en compte de la protection des données et de la SSI, dans les projets e-Santé et dans les investissements SI,
la préparation des ES (PCRA numérique et plan de réponse à incident, prise en compte effective des prérequis cyber (financement HOPEN, SUN-ES, ESMS numérique…),
la déclaration systématique des incidents cyber par les établissements de santé.
Déclaration des incidents significatifs ou graves de sécurité des systèmes d'information : elle concerne les établissements sanitaires et a été étendue aux établissements médico-sociaux; la déclaration de l'incident SI se fait via le portail de signalement des évènements indésirables.
Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé.
Domaine 1 - Audits techniques
Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts. Le Domaine 1 vise à :
- atteindre un premier niveau de remédiation de l'exposition sur Internet ;
- atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- se préparer au risque d’une cyberattaque ;
- s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Le secteur social et médico-social fait aujourd’hui l’objet d’un fort développement des usages numériques mais il est confronté aux risques cybersécurité, pouvant impacter le quotidien des professionnels de santé et mettre en péril la prise en charge du résident.
Un guide pour les établissements et services médico-sociaux
Dans le cadre du plan national de renforcement de la cyber-sécurité du secteur de la santé, un guide de cyber-sécurité est disponible pour accompagner les structures sociales et médico sociales dans leur démarche de sécurité numérique; ce guide présente, en treize questions, des mesures accessibles pour une protection globale des Établissements et Services sociaux et médico-sociaux (ESSMS) qui leur permettront d’accroître leur niveau de sécurisation et de sensibiliser leurs équipes aux bons gestes à adopter.
Télécharger le guide cyber-sécurité pour les ESSMS
Vous trouverez également le dossier d'information de l'ANS sur la cybersécurité dans le secteur de la santé et du médico-social ici : Dossier d'information de l'ANS sur la cybersécurité dans le secteur de la santé et du médico-social
Parcours Cybersécurité - Appels à manifestation d'intérêt
Les établissements continuent à être la cible d’attaques informatiques, touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant depuis plusieurs années s’est encore renforcé en raison des tensions internationales. L’augmentation de l’usage du numérique dans la santé augmente l’exposition des établissements du secteur aux cyberattaques, plaçant ainsi la santé dans le top 5 des secteurs les plus touchés.
L’impact de ces attaques est considérable. Elles entraînent des coûts importants pour remettre en service les SI en mobilisant prestataires et éditeurs. Elles mobilisent jour et nuit des équipes techniques mais aussi métiers, sans compter les impacts sur la disponibilité de l’offre de soins et en conséquence les pertes de chance.
La cybersécurité nécessite aujourd'hui un investissement certes important mais qui se révèlera rentable en évitant les incidents ou en minimisant leurs impacts.
Cet engagement est d’autant plus nécessaire que le domaine de la santé hérite d'une dette technique dans le numérique et dans la cybersécurité : nous devons donc réaliser un effort particulier pour rattraper ce retard.
Organisés par l'Agence Régionale de Santé Bretagne et le Groupement Régional E-santé Bretagne, deux appels à manifestation d'intérêt (AMI) sont proposés aux ESMS Bretons :
- AMI Parcours cybersécurité axé sur la réalisation d'un exercice de gestion de crise cyber
- AMI Parcours cybersécurité axé sur la réalisation d'un cyberdiagnostic
A qui s'adresse la démarche ?
Ces appels à manifestation d'intérêt s'adressent à tous les organismes gestionnaires des ESMS bretons, de droit public ou privé, qui :
– disposent d’une autorisation à jour, délivrée par l’ARS Bretagne, leur permettant d’exercer en tant qu’établissement médico-social;
– possèdent un identifiant FINESS juridique, dont la catégorie FINESS est comprise dans les valeurs suivantes: 165, 178, 180, 183, 188, 189, 190, 192, 195, 196, 197, 209, 213, 253, 255, 354, 395, 437, 445, 464, 500.
Ces dispositions s'appliquent uniquement aux départements Bretons : Cotes d'Armor, Finistère, Ille et vilaine et Morbihan.
La 1ere phase de candidature est fixée sur trois semaines entre le mardi 9 septembre 2025 à 16h et le mardi 23 septembre 2025 à 23h59.
La phase d'instruction et de sélection des candidatures par l'ARS Bretagne aura lieu entre le 24 septembre et le 30 septembre 2025; les structures retenues seront notifiées officiellement le 1er octobre 2025.
Les organismes gestionnaires dont la candidature aura été retenue s'engagent à réaliser le parcours cyber correspondant dans son intégralité au plus tard le mardi 30 juin 2026 et à désigner un référent interne à leur structure qui sera en charge de sa réalisation.
Pour les structures adhérentes au GRADeS e-santé bretagne, le marché cyber-résilience notifié en octobre 2023 leur permettra de disposer de prestations à prix négociés et fixes, avec l’assurance de bénéficier de l’expertise de prestataires qualifiés.
Plus d'information concernant l'AMI exercice de gestion de crise cyber : AMI
Gestion de crise cyber : un exercice à réaliser annuellement sur le secteur sanitaire
Les établissements continuent à être la cible d’attaques informatiques (296 incidents d’origine malveillante signalés au CERT-Santé en 2023), touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant depuis plusieurs années s’est encore renforcé en raison des tensions internationales. L’augmentation de l’usage du numérique dans la santé augmente l’exposition des établissements du secteur aux cyberattaques, plaçant ainsi la santé dans le top 5 des secteurs les plus touchés (cf. ANSSI, Panorama de la cybermenace 2023).
L’impact de ces attaques est considérable. Elles entraînent des coûts importants pour remettre en service les SI en mobilisant prestataires et éditeurs. Elles mobilisent jour et nuit des équipes techniques mais aussi métier; sans compter les impacts heureusement souvent limités sur la disponibilité de l’offre de soins et en conséquence les pertes de chance.
Il y a donc une réelle nécessité de sensibilisation et de préparation de tous les acteurs du secteur (directions, métiers, DSI, etc.) aux risques cybersécurité dans leurs contextes particuliers. Pour répondre à ce besoin, un groupe de travail réunissant l’Agence du Numérique en Santé, le FSSI ainsi que les ARS et les GRADeS a élaboré des kits d'exercice de crise cybersécurité prêts à l'emploi et autoporteurs pour faciliter l’organisation d’exercices au sein des structures de santé.
Pour s’adapter au plus grand nombre de contextes, ces kits ont été éprouvés in situ dans des établissements de santé et structures médico-sociales informatisées de tailles et d’organisations différentes. Ainsi, les structures pourront envisager une réalisation autonome des exercices ou opter pour une réalisation assistée par un prestataire externe.
Ces kits sont adaptés à différents niveaux de maturité (débutant, intermédiaire et confirmé) mesurés grâce à une grille d’autoévaluation qui permet à tout établissement de sélectionner le niveau de kit approprié à son contexte.
Chaque kit est prêt à l’emploi. Il a pour objectif de permettre à une structure de santé de découvrir la gestion de crise cybersécurité en condition réelle et de s’approprier des automatismes de gestion de crise cybersécurité afin de renforcer la résilience de leur structure et d’assurer au mieux la continuité des soins. Il est divisé en trois parties:
un kit participant – Ce kit comporte les règles du jeu, les fiches de bonnes pratiques, ainsi qu’un glossaire pour permettre aux participants de se familiariser avec les concepts de la cybersécurité. Il doit être partagé avec eux en amont de l’exercice ;
un kit de communication – Ce kit permet de communiquer au mieux auprès des participants à l’exercice pour en expliquer la démarche et mobiliser les acteurs ;
un kit animateur – Ce kit permet à tout animateur (interne ou externe) de pouvoir animer en autonomie l’exercice au sein de la structure. Découvrez-le en images à travers la vidéo de présentation présente dans le kit.
Les ressources compétentes pour la gestion du numérique au sein des établissements sanitaires, sociaux et médico-sociaux sont rares et la mobilisation d’une enveloppe budgétaire dédiée au volet numérique permettant de répondre aux enjeux de sécurité des systèmes d’information n’est pas systématique.
Depuis décembre 2022, la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS) rassemblent et coordonnent l’ensemble des parties prenantes en charge de la cybersécurité pour le secteur de la santé dans l’objectif de rendre les établissements plus résilients et mieux préparés aux risques de cyberattaques. Ces travaux ont abouti à l’élaboration du programme CaRE « Cybersécurité, accélération et résilience des établissements » qui décline un plan d’action concret et ambitieux pour la période de 2023 à 2027 comportant quatre axes :
1. Gouvernance et résilience ;
2. Ressources et mutualisation ;
3. Sensibilisation ;
4. Sécurité opérationnelle.
L’axe 2 s’intéresse à l’adéquation, les compétences et la pérennisation des ressources dans les établissements agissant dans le secteur numérique et de la cybersécurité. Il vise à répondre à la rareté des ressources cyber, notamment en les mutualisant entre les établissements.
Dans cette optique, l’ARS Bretagne œuvre pour la mise en place d’un Centre Régional de Ressources Cybersécurité (CRRC) dans le souci d’éviter tout recouvrement avec des services qui seraient déjà proposés par la puissance publique.
Le CRRC a pour but de mettre à disposition des établissements sanitaires, sociaux et médico-sociaux de la région une offre organisationnelle et technique de services dédiée au renforcement de la cybersécurité des établissements : celle-ci doit répondre à des besoins identifiés comme prioritaires.
Pour cela, l’ARS Bretagne s’appuie sur le groupement régional d’appui e-santé bretagne (GRADeS).
