Selon l’Observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé, le CERT Santé, les signalements d’incidents de sécurité par les établissements de santé ont doublé en 2021 par rapport à 2019 et 2020.
Dès avant la crise Covid, dans le cadre du plan Ma Santé 2022, l’État avait défini une feuille de route permettant « d’accélérer le virage du numérique » dans ce secteur. Celle-ci repose sur cinq orientations que sont :

• la gouvernance ;
• la sécurité et l’interopérabilité des systèmes d’information en santé ;
• le déploiement de services numériques socles (ex. : le Dossier Médical Partagé) et de plateformes numériques en santé (Espace Numérique de Santé, Health Data Hub, etc.);
• l’innovation et l’engagement au sein de l’écosystème (ex. : création du « Lab e-santé » G_NIUS).

Mais avec le développement de la télémédecine, favorisé par le remboursement des téléconsultations par l’Assurance Maladie depuis mars 2020, et la perspective d’une prise en charge forfaitaire de la télésurveillance, le système de santé devient plus ouvert, générateur de données, et donc plus fortement ciblé par les hackers. À ce jour, quatre référentiels ont été publiés par la Haute Autorité de Santé pour encadrer le suivi à distance de quatre pathologies chroniques.
Le Ministère des Solidarités et de la Santé (MSS) et l’Agence du Numérique en Santé ont également construit un référentiel opposable permettant de garantir une identité numérique unique pour les patients, élément-clé pour garantir une exploitation paisible de leurs données.

Un plan d’investissement historique pour sécuriser la transition

Face à ces enjeux, le gouvernement a annoncé en 2021 le déblocage de deux milliards d’euros dans le cadre Ségur du Numérique en santé pour accélérer la digitalisation au sein des établissements de santé.  L’enveloppe prévoit ainsi de dédier 350 millions au renforcement de la sécurité des systèmes d’information de ces structures. « Cisco est capable de proposer une réponse technologique globale à cette prise de conscience des instances gouvernementales et des directions d’établissement en matière de cybersécurité. » souligne Pierre Balloteau responsable cybersécurité secteur public chez Cisco.
Toutefois, ces aides n’affranchissent pas les établissements de prendre en charge leur sécurité. L’État a également annoncé que le financement d’un projet informatique serait désormais conditionné au fait qu’au moins 5 à 10 % du budget global soit consacré à sa sécurisation.

Des efforts de sensibilisation accrus

Fidèle au principe selon lequel la cybersécurité est d’abord une affaire de vigilance, les pouvoirs publics multiplient également les efforts pour acculturer le secteur médical aux problématiques de cybersécurité, avec par exemple la campagne #TousCybervigilants lancée en 2019. Les cursus généraux de formation des acteurs de la santé devraient également à l’avenir intégrer une sensibilisation aux bonnes pratiques « d’hygiène numérique ».

Un écosystème d’accompagnement dynamique

Le secteur bénéficie enfin du support d’organisations spécialisées.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) soutient les structures de santé victimes de cyberattaques. En 2021, elle s’est notamment mobilisée directement auprès de 29 établissements de santé publics, dont 18 opérateurs de services essentiels (OSE), 2 établissements privé, un  EPHAD, un groupement de Coopération Sanitaire, un prestataire de solutions métier pour les établissements médico-sociaux. Ces derniers ont parfois dû fonctionner en mode dégradé pendant plusieurs mois.
Le CERT Santé met à la disposition des établissements de santé un portail de cyberveille, mais également des fiches réflexes, des webinaires et d’autres ressources pour se prémunir ou limiter les effets des cyberattaques.
En cas de crise, ce service national aide les hôpitaux à identifier l’origine de la compromission et leur propose un plan de remédiation. « La clé pour accompagner un acteur de santé comme il se doit, c’est de bien comprendre son métier avant de recommander une solution de cybersécurité » précise Pierre Balloteau, responsable cybersécurité service public, Cisco.
Enfin, face à la prolifération de dispositifs médicaux ou biomédicaux connectés, l’État a développé un portail spécialement dédié aux industriels de la e-santé. Baptisée Convergence, cette plateforme contribue à ce que la cybersécurité soit prise en compte « by design », c’est-à-dire dès la conception du produit de santé.

Et au niveau européen ?

Au niveau européen, la directive NIS encadre depuis 2016 la sécurité des réseaux et systèmes d’information des activités dites “essentielles” des pays.

En 2021, 135 groupements hospitaliers français ont été classés OSE (Opérateur de Service Essentiel). Ce statut, introduit par la directive NIS, définit des règles de sécurité informatique très strictes pour ces acteurs. Les contrôles sont effectués par l’ANSSI et les établissements concernés peuvent s’appuyer sur les Agences Régionales de Santé (ARS) pour se mettre en conformité.
Sur la question de la data, la Commission européenne a publié en mai 2022 un projet de règlement pour l’espace européen des données de santé (European Health Data Space ou EHDS). La mise en place d’une démarche coordonnée est en marche, dans un contexte évolutif dans lequel acteurs locaux, nationaux et européens auront tous un rôle à jouer, avec l’appui de partenaires technologiques tels que Cisco.

Contenu proposé par Cisco