Doté de plus de 250 M€ jusqu’en 2025, le programme Care vise à améliorer la sécurité numérique des établissements de santé, dans un environnement toujours plus menacé. Présenté mi-décembre par Aurélien Rousseau, alors ministre de la Santé, il déploie une vingtaine d’objectifs. Dès le premier semestre 2024, les établissements de santé et médico-sociaux devront justifier de mesures prises et une instruction synthétisant l’ensemble de leurs obligations est attendue.
La santé connaît un véritable essor des usages numériques, depuis les cabinets libéraux jusqu’à l’hôpital, indique le communiqué du ministère. De fait, les risques de cybermalveillance augmentent aussi. Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME. Ces derniers mois, des attaques massives ont ciblé certains établissements de santé et ont eu des conséquences directes sur l’organisation des services et la prise en charge des patients. Le retour à la normale peut prendre plusieurs mois et nécessite souvent des investissements importants, humains et financiers, pour les établissements victimes.
Aurélien Rousseau, ministre de la Santé et de la Prévention, et Jean-Noël Barrot, ministre délégué chargé du Numérique, se sont rendus lundi 18 décembre 2023 au Centre Hospitalier (CH) de Versailles, victime d’une telle attaque le 3 décembre 2022, pour présenter le programme « Cybersécurité accélération et Résilience des Établissements » (Care). Il résulte d’un groupe de travail réunissant des experts de terrain et vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins.
Le programme, doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit ainsi le double objectif d’éviter que les attaques aboutissent et de permettre aux établissements de s’en relever le plus rapidement possible. Il décline 20 objectifs selon 4 axes :
– Gouvernance et résilience ;
– Ressources et mutualisation ;
– Sensibilisation ;
– Sécurité opérationnelle.
• Cybersécurité accélération et résilience des établissements (Care), un plan d’action pour protéger nos établissements face à la menace cyber, décembre2023, synthèse sur le site du ministère de la Santé.
