Évolution réglementaire Ségur de la Santé : Cybersécurité

Le Ségur de la Santé

Courant février, le Président de la République et le Ministre de la Santé ont exposé publiquement un grand plan national très ambitieux couvrant la thématique de la numérisation des établissements de santé et médico-sociaux, et ont affecté une partie de ce plan au renforcement de la cybersécurité de ces structures.

Plus concrètement, le découpage budgétaire qui a été identifié pour les établissements de santé se répartit comme suit :

• Budget Global -> 2Milliards €
• Cyber Sécurité Santé -> 350 Milliards €
• Audits ANSSI Santé -> 25 Milliards €
• Cert-Santé -> Non défini

L’écosystème de la sécurité informatique concernant les systèmes d’information sous responsabilité ou tutelle de l’état a reçu une dotation budgétaire pour lui permettre de prendre en charge des prestations à une échelle plus importante que par le passé :

• L’ANSSI (Agence nationale de la sécurité des systèmes d’information) devient un acteur public de premier plan concernant le secteur santé. La réglementation concernant les établissements de soins publics évolue et leur confère un statut d’OSE (Organisme de Services Essentiels) qui définit un nouveau référentiel de bonnes pratiques en matière de sécurité informatique, dont la conformité sera encadrée par l’ANSSI, qui peut faire intervenir d’autres acteurs publics ou privés concernant le déploiement des contremesures identifiées.
• La cellule ACSS (Accompagnement Cyber sécurité des Structures de Santé) est rebaptisée CERT-Santé et se voit attribuer une mission de « service national » de cybersécurité sous forme d’audits de l’exposition sur Internet des systèmes d’information des structures de santé, dans le but de réduire le risque d’attaque cyber. Le CERT Santé mène également des actions de prévention ciblées sur des menaces spécifiques et propose des services visant à améliorer la sécurité du SI (messagerie en particulier). Cette cellule est directement reliée au portail de signalement « signalement social santé » et peut également mobiliser différents acteurs pour apporter une première analyse des évènements signalés. La cellule ACSS publie également un rapport annuel d’observation des incidents de cybersécurité déclarés. Pour l’année 2020, le document est disponible ici.

D’autres annonces viennent compléter ce dispositif principal, au rang desquelles nous trouvons :

• L’instauration d’une règle de gouvernance de projets informatiques : le soutien de la part de l’État n’est possible que si une part de à 5 à 10% du budget informatique est dédiée à la cybersécurité.
• L’annonce, à horizon 2022, de la stratégie d’intégrer la sensibilisation à la cybersécurité dans tous les cursus de formation des acteurs en santé pour développer les pratiques « d’hygiène numérique » (financement indéterminé).

Le plan France Relance

Depuis le mois d’avril, dans le cadre du plan « France Relance », toute structure publique peut solliciter l’ANSSI dans le cadre d’un encadrement de la gouvernance de la sécurité du système d’information appelé « parcours de cybersécurité« . Bien que cette offre d’accompagnement ne soit pas exclusivement réservée aux établissements de soins (toute collectivité locale peut également y prétendre), les établissements de soins sont bien entendu éligibles, ainsi que les acteurs médico-sociaux qui sont explicitement identifiés.

Du point de vue opérationnel, l’ANSSI qualifie les besoins et procède à une mise en relation avec des acteurs tiers du marché. Les parcours, in fine, sont fournis par des prestataires de cybersécurité choisis par les établissements bénéficiaires pour travailler à leur profit : la contractualisation s’effectue directement entre le bénéficiaire et le prestataire identifié.

Concernant le financement des opérations, il est à noter que l’ANSSI donne une « impulsion financière« , mais il est clairement indiqué que, quelle que soit l’offre, un co-financement par le bénéficiaire est systématiquement demandé. De plus, l’ANSSI demande un investissement pérenne de 5% du budget informatique consacré à la cybersécurité comme condition d’octroi de sa participation financière.

Les établissements de soins du secteur privé et associatif ne seront pas oubliés, car il est prévu, à l’horizon 2024, que l’ANSSI supervise la création de CSIRT (Computer Security Incident Response Team) à raison de 1 par région.  Ce service sera accessible aux entreprises privées et associations d’envergure, et prévoit de leur proposer un premier niveau d’information en cas de sinistre et une mise en relation avec des partenaires de proximité, prestataires et partenaires tiers, en fonction des circonstances. La création de ces structures est toutefois subordonnée à l’implication du conseil régional pour chaque région concernée. L’ANSSI subventionnera le démarrage des structures portées par les conseils régionaux.