Renforcer la cybersécurité de nos établissements de santé | Ouverture des deux premiers guichets : “Annuaires techniques et exposition sur internet” et “HospiConnect” du programme CaRE

• un appel à financement sur le domaine “Audits techniques : annuaires techniques et exposition sur internet”, doté d’une enveloppe de 65 M€ ouvert jusqu’au 19 avril 2024 ;
•  un appel à projet sur le domaine “HospiConnect”, doté d’une enveloppe de 1,4 M€ ouvert jusqu’au 5 avril 2024. 

Audits « annuaires techniques et exposition sur internet » : un premier appel à projets pour renforcer la cybersécurité dans les établissements de santé 

Le domaine « Audits techniques : annuaires techniques et exposition sur internet » est une des priorités du programme CaRE. En effet, les cyberattaques récentes ont démontré que l’exposition non maîtrisée sur internet est une porte d’entrée principale pour les attaquants. Par ailleurs, l’annuaire technique (ou « Active Directory »), qui gère les informations et les ressources d’un établissement, est souvent utilisé par les attaquants pour se propager dans le système. 

Ainsi, ce premier appel à financement pour le domaine « Audits techniques : annuaires techniques et exposition sur internet », doté d’une enveloppe de 65 millions d’euros, vise à : 

• atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
• atteindre un premier niveau de remédiation de l'exposition sur Internet ;
• se préparer au risque d’une cyberattaque ;
• auto-évaluer sa maturité vis-à-vis des risques cyber ;
• prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics). 

Ces objectifs sont détaillés dans le guide disponible sur le site de l’ANS. Les financements seront octroyés à l’atteinte de ces objectifs. 

À cet effet, les établissements de santé sont invités à candidater sur la plateforme dédiée « eCaRE » : les guichets de candidature seront ouverts du 18 mars au 19 avril 2024 et ouverts à tous les établissements de santé, publics et privés. 

Vous pouvez retrouver l’ensemble des informations sur les candidatures décrites sur le site de l’ANS. 

Hospiconnect : un appel à projet pilote pour simplifier et sécuriser l’accès aux services numériques sensibles 

La sécurité de l’identification des professionnels de santé est critique pour le respect du secret médical et la confidentialité des données. Le renforcement des moyens d’identification (création et gestion des modes de connexion) des professionnels de santé est un levier majeur de cybersécurité. 

Pour supporter ces actions, le référentiel d’identification électronique a été rendu opposable en 2022.Dans ce contexte, l’objectif d’HospiConnect est d’accélérer le déploiement des exigences du référentiel d’identification électronique et de simplifier l’accès sécurisé des professionnels aux services numériques les plus sensibles (comme le DPI dans les établissements de santé ou le DMP). 

Tenant compte de l’évolution des technologies et des usages, cet appel à projet vise à financer le développement de nouveaux modes d’identification électronique sécurisés pour les professionnels qui exercent à l’hôpital. Il s’agit de tester ces nouveaux dispositifs sécurisés et leurs usages dans le quotidien des soignants pour nourrir la réflexion sur les dispositifs à généraliser en 2025.
Les modalités du premier appel à projets (Alpha) sont détaillées dans le cahier des charges disponible sur le site de l’ANS. Les financements seront octroyés à l’atteinte d’objectifs. 

À cet effet, les établissements sont invités à candidater sur la plateforme Démarches Simplifiées : les guichets de candidature seront ouverts du 18 mars au 5 avril 2024 à tous les établissements de santé et établissements sociaux et médico-sociaux, publics et privés. 

Rappel : 

Présenté en décembre 2023 par le ministre chargé de la Santé et le ministre délégué chargé du Numérique, le programme CaRE vise à accélérer la mise à niveau des systèmes d’information (SI) face à l’état de la menace cyber et à renforcer durablement la résilience des établissements de santé et des établissements sociaux et médico-sociaux. Ce programme décline ainsi un plan d’action concret et ambitieux sur jusqu’en 2027 qui permettra de donner une réponse collective, déterminée, et coordonnée pour faire face à cette menace.
Comme le relève le Panorama de la cybermenace 2023 de l’ANSSI, les établissements de santé ont été ces dernières années la cible de nombreux actes de cyber-malveillance avec des conséquences majeures impactant la sécurité et la qualité de prise en charge des patients.
Ces incidents soulignent la nécessité de mieux se préparer à faire face à la cybermenace et renforcer la sécurité opérationnelle des systèmes d’information (SI) des établissements. Un effort important sur les infrastructures doit être réalisé au sein des établissements afin de remédier aux vulnérabilités et limiter les intrusions dans les SI. Le plan d’action CaRE a identifié en ce sens des domaines prioritaires et a mis en place un système de soutien financier pour aider les établissements à rattraper les retards constatés (axe 4, objectif 12 du plan d’action CaRE). 

À propos de l’Agence du Numérique en Santé (ANS) : l’Agence du Numérique en Santé (ANS) accompagne la transformation numérique de notre système de santé, devenue aujourd’hui incontournable. L’Agence assure trois grandes missions. La première vise à réguler la e-santé en posant les cadres et les bonnes pratiques, notamment en termes de sécurité et d’interopérabilité pour faciliter le partage et les échanges de données de santé en toute confiance. La deuxième mission consiste à conduire les projets d’intérêt national sous l’égide des pouvoirs publics. Enfin, l’Agence du Numérique en Santé accompagne le déploiement national et territorial des outils et projets numériques en santé afin de développer les usages et de favoriser l’innovation. https://esante.gouv.fr/ 

À propos de la Délégation au numérique en santé : La Délégation au numérique en santé (DNS) assure le pilotage de la feuille de route du numérique en santé et de l’ensemble des chantiers de transformation du numérique en santé avec ses partenaires. La DNS est directement rattachée à la ministre du travail, de la santé et des solidarités. Elle assure un pilotage resserré de l’Agence du Numérique en Santé.