Le programme CaRE est-il suffisant pour protéger les établissements de santé ?

Le programme Care, de quoi s’agit-il ?

Pour rappel, le programme CaRE, créé en décembre 2023, résulte d’un travail de plusieurs mois entre des acteurs nationaux et des acteurs de terrain du monde de la santé. Il a pour objectifs d’accélérer la mise à niveau des systèmes d’information hospitalier face aux menaces et à renforcer durablement la résilience des structures de soins.

Le programme se décline en 4 axes et 20 objectifs :

D’ici 2027, 750 millions d’euros vont être engagés dans le programme.

État des lieux du programme CaRE : constants et problèmes

À peu près 1 an après la création du programme CaRE, celui-ci a permis une prise de conscience croissante des établissements de santé dans la nécessité de combler les vulnérabilités numériques et de mettre en place des mesures concrètes pour y parvenir, en particulier en matière de cybersécurité.

En réponse aux défis croissants de la cybersécurité dans le secteur de la santé, une comitologie a été instaurée pour favoriser la collaboration entre les acteurs. Cela inclut un Comité de Pilotage (COPIL) CaRE mensuel, des ateliers pluri-acteurs et une communauté RSSI (Responsables de la Sécurité des Systèmes d'Information) pour les établissements de santé.

En 2023, plus de 2000 exercices de crise ont été réalisés, couvrant 71% des établissements de santé et 100% des opérateurs de services essentiels (OSE). Ces exercices deviennent récurrents grâce à un fort engagement régional et à des actions de sensibilisation (mails, webinaires, newsletters) en partenariat avec les DSI des GHT.
Dans le cadre du programme CaRE, le domaine D1 a suscité un grand intérêt avec la réception de 1 207 demandes de financement de la part d'établissements de santé publics et privés, soit 84% des établissements éligibles. Cela représente un investissement de 64 millions d’euros. Cet effort répond à l'ambition du programme de toucher le plus grand nombre d’établissements. Pour rappel, le domaine D1 “pour les établissements de santé vise le renforcement de leur niveau de sécurité en maîtrisant leur exposition sur internet et en consolidant la maîtrise des annuaires techniques.” tiré de l’arrêté du 18 mars 2024.
En parallèle, le programme Hopsiconnect, doté de 50 millions d’euros, vient de récompenser 15 lauréats à travers son appel à projets visant à sécuriser et simplifier l’identification électronique des professionnels dans les établissements sanitaires et médico-sociaux. Lancé en février, Hopsiconnect s’inscrit dans l'axe 4 "sécurité opérationnelle" du programme CaRE.

Malgré une forte mobilisation des acteurs de santé, et plus particulièrement des établissements de santé, des obstacles subsistent.

Les établissements continuent à être la cible d’attaques informatiques (581 incidents d’origine malveillante signalés au CERT-Santé en 2023 contre 592 en 2022), touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant, amplifié par les tensions internationales, a des impacts majeurs : recours coûteux aux prestataires (jusqu’à 2 M€ pour un établissement), mobilisation intense des équipes techniques, et effets sur la disponibilité des soins. En parallèle, les DROM-COM font face à des coûts élevés pour organiser des exercices de crise, notamment à cause des déplacements nécessaires. Les enveloppes déléguées ne prennent pas en compte les difficultés de distance entre les territoires ou sur un territoire. 

De plus, les régions font face à une démultiplication de sujets sur le numérique depuis quelques années (programmes institutionnels, objectifs, …) sans que les ressources humaines se multiplient.

Que va-t-il se passer prochainement ?

Après une année marquée de réussite et de motivation des établissements, le programme CaRE continue. Les prochaines étapes à accomplir incluent plusieurs actions clés, telles que :

De nouveaux objectifs pour le numérique en santé ont été établis pour l’année 4 à venir. L’un des enjeux majeurs est de maintenir la dynamique collective des dernières années, particulièrement après les Jeux Olympiques, qui ont mis en lumière l’importance de la cybersécurité et mobilisé l’ensemble des acteurs au niveau national.

Le programme CaRE reste une priorité, notamment avec l'objectif de renforcer les résultats du domaine D1, centré sur la gestion des risques liés à la continuité et la reprise d’activité. Un appel à projet Hospiconnect "alpha" sera lancé pour simplifier et sécuriser l'accès aux services numériques sensibles dans les établissements de santé, tout en développant les capacités de pilotage et d'accompagnement pour améliorer l'identification électronique.

Les Centres Régionaux de Ressources Cyber (CRRC) seront également renforcés, avec un soutien à la fois financier et pratique d’environ 28 millions. Cela inclut la gestion des marchés régionaux, les relations avec les prestataires, et le suivi des établissements médico-sociaux. Il sera important de préciser les règles d’utilisation des fonds alloués aux CRRC, en vue des audits futurs, tout en mettant en place un calendrier global des appels à financement pour optimiser la planification des activités du CRRC.

Vers une cybersécurité renforcée et durable pour le secteur de la santé

Ainsi, nous pouvons dire que le programme CaRE a réussi à mobiliser un grand nombre d’établissements de santé, témoignant de l’importance accordée à la cybersécurité dans ce secteur. Cependant, ces résultats doivent être nuancés. Bien que les établissements soient fortement engagés, des problèmes majeurs subsistent, notamment en matière de ressources, de coordination et de gestion des attaques informatiques. En matière de financement, il sera également essentiel de garantir la pérennité des investissements.

Parallèlement, la cybersécurité reste une priorité nationale dans divers programmes ou institutions tels que France 2030, la Haute Autorité de Santé (HAS) et HOP'EN 2, soulignant l’importance de renforcer la sécurité numérique à tous les niveaux du système de santé. Il faut donc travailler sur l’articulation de tous ces programmes.