Avis d’expert | Prévenir et agir en matière de cybersécurité : un enjeu fort pour les établissements sanitaires et médico-sociaux

Les acteurs de la santé peuvent constituer des cibles pour les cybercriminels en raison de la quantité des données et leur sensibilité, du caractère souvent impératif du service qui ne peut être interrompu et des défaillances existantes liées à l’utilisation de systèmes parfois obsolètes.

La sécurité des systèmes d’information apparaît comme cruciale pour les secteurs sanitaires et médico-sociaux afin de garantir la sécurité et la protection des données personnelles conservées, de permettre une prise en charge et un accompagnement sans interruption des patients et personnes accompagnées.

Le programme CaRE : rendre les établissements plus résilients et mieux préparés

Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME[3]. Pour faire face à cette menace, le gouvernement a présenté le plan d’actions CaRE[4] (Cybersécurité accélération et Résilience des Établissements) en décembre 2023. Ce plan vise à accélérer la mise à niveau des systèmes d’informations hospitaliers et à renforcer durablement la résilience des structures de soins. 

Ce programme est doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, et poursuit un double objectif : éviter que les attaques aboutissent et permettre aux établissements d’y faire face le cas échéant.

Il s’adresse à l’ensemble des établissements sanitaires et médico-sociaux, de tout statut.

Le programme prévoir un plan d’action pour la période de 2023 à 2027 qui se décline en 4 axes principaux :

• Gouvernance et résilience
• Ressources et mutualisation
• Sensibilisation
• Sécurité opérationnelle

L’axe 1 gouvernance et résilience, via l’objectif 3 (« Préparer et accompagner les établissements à réagir et à faire face à la cybermenace ») prévoit notamment le financement par les ARS de la réalisation d’exercices de crise cyber au sein des établissements sanitaires et médico-sociaux et de la production de plans de continuité et de reprise d’activité

L’axe 4 sécurité opérationnelle prévoit également plusieurs domaines d’investissement prioritaires pour que les établissements puissent pallier leur dette technologique et renforcer la sécurité de leur infrastructure. Les établissements pourront, au cours de la durée du programme, candidater à ces différents domaines d’investissement pour obtenir des financements, conditionnés à l’atteinte d’objectifs préalablement définis.

Retours sur le premier appel à financement du programme CaRE : « Maitriser les risques d’exposition sur internet et sécuriser les annuaires d’établissement »

Les cyberattaques récentes montrent que l’exposition sur internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’annuaire technique est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.

Doté de 65 millions d’euros, ce premier appel à financement a été lancé le 18 mars 2024 et les établissements avaient jusqu’au 19 avril dernier pour candidater. Cet appel à financement visait au renforcement du niveau de sécurité des établissements de santé en maîtrisant leur exposition sur internet et en consolidant la maîtrise des annuaires techniques (active directory – AD). Il portait principalement sur la réalisation d’audits réguliers de la configuration des annuaires techniques (AD) et de l’exposition internet ainsi que sur la mise en œuvre des actions de remédiation permettant de renforcer le niveau de sécurité global.

Les établissements candidats devaient également réaliser un exercice de gestion de crise cyber, en s’appuyant si nécessaire sur le kit mis à disposition sur le site de l’ANS.

Les équipes Forvis Mazars accompagnent plusieurs établissements sanitaires dans l’atteinte des objectifs prévus par ce premier domaine de financement, et notamment sur les thématiques suivantes :

• Accompagnement à la réalisation d’audits de l’annuaire technique via l’outil ADS mis à disposition par l’ANSSI
• Accompagnement à la réalisation d’audits de l’exposition internet via l’utilisation des outils disponibles sur le marché et conformes au cahier des charges mis à disposition par l’ANS et le CERT santé
• Accompagnement à la réalisation d’exercice de gestion de crise cyber

Les établissements qui ont vu leur candidature retenue ont jusqu’au mois d’avril 2025 pour atteindre les différents objectifs fixés dans le cadre de ce premier appel à financement.

De prochains appels à financement attendus

L’objectif 12 du programme CaRE (« Soutenir les établissements de santé dans les domaines identifiés comme prioritaires pour faire face à la cybermenace ») prévoit que de nouveaux appels à financement suivront.

Les priorités suivantes sont déjà identifiées :

Objectif 14 – Superviser les postes de travail et détecter les intrusions

Objectif 15 – Sécuriser les accès au SI depuis l’extérieur (télémaintenance)

Objectif 16 – Reconstituer rapidement les services critiques en cas d’incident (continuité d’activité et stratégie de sauvegarde)

Forvis Mazars peut vous accompagner dans le cadre de vos démarches de candidatures à ces appels à financement.

Forvis Mazars, une expertise forte pour accompagner les établissements sanitaires et médico-sociaux dans leurs travaux relatifs à la cybersécurité

Grâce à notre connaissance approfondie des secteurs sanitaires et médico-sociaux, ainsi qu’à notre expertise en matière de sécurité des systèmes d’information, nous sommes en mesure de comprendre pleinement les enjeux auxquels vous êtes confrontés. Notre objectif est de vous aider à mettre en œuvre des mesures adaptées à votre activité de prévention des cyberattaques et de renforcement de la sécurité numérique.

Nos équipes dédiées cybersécurité en santé peuvent vous accompagner sur les thématiques suivantes :

• Audits de sécurité et plans d'actions (évaluation du niveau de maturité et analyse des risques, formalisation d’un plan d’actions dédié, formation et sensibilisation aux enjeux cyber, rédaction de documentations de gouvernance cyber type PSSI)
• Résilience face aux cyberattaques (formalisation d’une stratégie de gestion de crise, du PCA/PRA et du PCI/PRI, appui à la réalisation d’exercices de gestion de crise cyber)
• Conformité (accompagnement à la mise en œuvre des obligations liées aux directives européennes, sécurisation des données)

Par ailleurs, les équipes Forvis Mazars ont développé l’outil open source AD Miner qui permet de réaliser des audits de l’annuaire technique, d’identifier les chemins de compromission pour corriger les causes et les mauvaises configurations.

Nous travaillons depuis plusieurs années avec les acteurs sanitaires et médico-sociaux : la combinaison de nos expertises sectorielles et de nos compétences en matière de cybersécurité permet d’apporter une réponse complète à vos besoins.

Sources

[1] Digital Economy Compass 2020 – Statista

[2] CERT Santé – Observatoire des signalements d’incidents de sécurité des systèmes d’information pour les secteurs santé et médico-social – Rapport public 2023

[3] Panorama de la cybermenace 2023 – ANSSI

[4] https://esante.gouv.fr/sites/default/files/media_entity/documents/doc-programme-care-231214-20h_pap%5B17%5D.pdf