S’il est un risque que les professionnels de la santé ont vu émerger ces dernières années jusqu’à devenir critique pour leur fonctionnement, c’est bien celui des cybermenaces. Allant de pair avec l’informatisation des pratiques visant à des gains de qualité et de productivité dans l’ensemble de nos fonctionnements, le potentiel de malveillance via nos systèmes numériques s’est imposé dans la vie professionnelle autant que dans la vie personnelle. Les récits des expériences d’établissements de santé attaqués, d’équipements et logiciels inutilisables ou de vols de données conduisent l’ensemble des acteurs à s’informer, à se former, à adapter leurs organisations, à travailler en commun et à augmenter leurs exigences pour se préparer à ces situations. Guides, congrès, bonnes pratiques, réseaux d’experts, agences nationales…, les ressources et les évènements sur le sujet sont nombreux et fédérateurs. L’approche des jeux Olympiques et Paralympiques, et des menaces potentielles qui les accompagnent, contribue aussi à la mobilisation des établissements et acteurs de santé. Ainsi, en vue des Jeux, et dans le cadre du volet Cybersécurité du plan Orsan, l’AP-HP a élaboré un plan de résilience, avec notamment un dispositif de livraison de matériel bureautique en cas de cyberattaques d’établissements critiques dans toute l’Île-de-France.
En 2023, quelque 467 structures de santé ont déclaré 581 incidents cyber au CERT Santé, le service national d’appui à la gestion des cybermenaces, dont 60 % ont eu un impact sur les données.
Il n’est pas surprenant dans ce contexte que les publications et initiatives fleurissent sur cette question et que l’Agence du numérique en santé consacre le premier chapitre de la Doctrine 2023 du numérique en santé à la sécurité : « Les cyberattaques récentes des hôpitaux ont mis en exergue la lourde menace qui pèse sur les établissements de santé (ES) et plus largement notre système de santé, allant du vol de données à la demande de rançon, atteintes à l’image, en passant par l’espionnage ou le sabotage. De plus, les établissements attaqués peuvent mettre plusieurs mois pour rétablir l’ensemble de leur système d’information à la suite d’une crise. Pour faire face à cette menace grandissante pouvant entraîner des conséquences graves, voire irréversibles sur la prise en charge des patients et la fuite de leurs données de santé, la puissance publique s’est engagée à élaborer et à mettre en œuvre rapidement un plan d’actions qui repose notamment sur des programmes ambitieux de renforcement de la cybersécurité des établissements de santé et des solutions logicielles, avec le programme CaRE (Cybersécurité accélération et Résilience des Établissements), incluant le programme HospiConnect (sécurisation et simplification de l’identification électronique des professionnels en établissements). En parallèle, dans le cadre de l’application de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), le programme Ségur numérique (vague 2) va permettre d’élever le niveau de sécurité des solutions logicielles utilisées dans l’écosystème. Par ailleurs, une évolution du référentiel de certification des hébergeurs de données de santé (HDS) est envisagée très prochainement. (1) »
En préparant ce dossier, nous avons souhaité donner la parole aux acteurs de terrain pour illustrer l’importance de la cybersécurité dans la santé au quotidien. De l’histoire de la notion et des risques qu’elle comporte jusqu’aux moyens d’action actuels, les articles présentés ici permettront à chacun d’être sensibilisé aux nouveaux enjeux indispensables pour une prise en charge de qualité.
Dossier coordonné par Florence Baguet, Julie Delaitre, Vincent Leroux et Jean-Pierre Nordmann
Florence Baguet
Gestions hospitalières
Note
(1) Agence du numérique en santé, « Doctrine du numérique en santé 2023  », avril 2024, p.1-9. esante.gouv.frÂ
Pour aller plus loin
- « La cybersécurité : un enjeu majeur pour les établissements de santé » – sante.gouv.fr
> Accueil > Système de santé > E-santé > Systèmes d’information > Dossier Cybersécurité - « Un plan d’action pour protéger les hôpitaux face à la cybercriminalité » – www.weka.fr