Médecin utilisant un ordinateur portable pour des données médicales sécurisées.

Programme CaRE et Cybersécurité des établissements de santé : renforcer la résilience face à la menace cyber

A la Une24/01/2025

Le secteur de la santé est le 3ème secteur le plus touché par les cyberattaques en France et dans le monde, avec des conséquences parfois dramatiques pour les établissements qui en sont victimes, tels que des dysfonctionnements dans la prise en charge des patients ! 

Dans ce contexte, l'ANS (Agence du Numérique en Santé) a initié le programme CaRE, qui vise à accompagner les établissements de santé publics et privés dans la prévention de leurs risques numériques.

Qu'est-ce que le Programme CaRE ? 

Le programme CaRE est une initiative gouvernementale visant à renforcer la cybersécurité des établissements de santé et médico sociaux face à cette menace. Ce programme est doté d’un financement de 750 millions d’euros d’ici 2027, dont 250 d’ici 2025.

Il poursuit un double objectif :

  • Prévenir les cyberattaques.
  • Améliorer la résilience des systèmes d’information pour assurer la continuité des soins.

La date de limite de dépôt du dossier de déclaration d’atteindre des objectifs, initialement fixée au 28 mars 2025, est décalée au 30 juin 2025. 

En savoir plus sur Oppida
Contactez-nous pour en savoir plus

La cybersécurité : un enjeu clé pour le secteur de la santé

Dans le cadre du volet « sécurité opérationnelle » du programme CARE, les 2 principaux axes du premier domaine concernent l’exposition internet et l’Active Directory. Ils ont été priorisés en raison des cyberattaques récentes.

Celle-ci ont en effet révélé que l'exposition à Internet est l'un des principaux vecteurs d'intrusion des attaquants dans les systèmes d'information des établissements de santé, et que l'Active Directory (annuaire technique) joue un rôle clé dans la propagation des attaques, permettant aux attaquants d'acquérir des privilèges élevés et d'infliger des dommages importants telles que la fuite des données patients et le ransomware.

Ces attaques ont un impact direct sur l’organisation des services et perturbe gravement la prise en charge des patients. Le retour à un bon fonctionnement des systèmes d’informations peut prendre plusieurs mois et a un impact humain, financier et organisationnel important. 

Les axes prioritaires du Programme CaRE

Dans le but de renforcer la résilience numérique des organisations, un entraînement à la gestion de crise cyber est désormais indispensable. Elle comprend un plan de gestion de crise et des exercices de gestion de crise.

Pour atteindre un niveau de sécurité minimal au sein de l'annuaire Active Directory des établissements, le programme CARE exige également l’accompagnement par un organisme tiers.

Un audit d’exposition internet des établissements de santé permet d’identifier et de corriger les vulnérabilités pour mieux protéger les données sensibles.

Oppida : des solutions concrètes pour atteindre les objectifs du programme CaRE 

Oppida réalise depuis plus de 20 ans des prestations d’expertise, d’évaluation et de conseil dans le domaine de la Sécurité des Systèmes d’Information (SSI). Ces prestations sont menées aussi bien au profit d’administrations (Défense, Service du Premier Ministre, Ministères) que d’organisations privées (opérateurs, banques, assurances, grande distribution, industries, PME-PMI, etc…).

Positionné en tant que cabinet d’expertise indépendant, Oppida intervient plus spécifiquement sur les grands types de missions suivants :

  • Conseil auprès des responsables sécurité / risk managers, ainsi que des maîtrises d’ouvrage : élaboration de démarche de sécurité, analyse de risque, rédaction de dossier de sécurité, mise en place de systèmes de management de la sécurité de l’information (SMSI), assistance à la préparation en vue d’une certification ISO 27001
  • Mission d’audits de sécurité et tests d’intrusion (boîte noire ou boîte blanche) ainsi que des audits de code source
  • Evaluation de produits de sécurité, en tant que laboratoire officiellement agréé pour mener des évaluations selon les Critères Communs (ISO 15408) ou selon la démarche CSPN (Certification de Sécurité de Premier Niveau)
  • Formation et sensibilisation

Les Services d'Oppida en détail 

Experts discutant de solutions en cybersécurité dans le secteur médical.
Experts discutant de solutions en cybersécurité dans le secteur médical.

Oppida réalise les deux audits finaux obligatoires d’exposition internet, conformément au cahier des charges de l'ANS. Cette prestation inclut un scanner de port, un outil d'évaluation des vulnérabilités et des outils internes Oppida pour l'audit de configuration des services exposés. Les tests d’accrochage avec la DNUM ayant été validés, Oppida est opérationnel pour l'envoi des résultats sur la plateforme de collecte dédiée.

Suite aux autodiagnostics sur les plateformes ADS et Silene, Oppida vous accompagne pour l’analyse des résultats et la mise en œuvre des correctifs de sécurité et vous aide à comprendre les recommandations et à les adapter à votre environnement. Un plan d’actions personnalisé peut être mis en place pour prioriser les correctifs

Oppida accompagne les établissements dans la préparation, la réalisation et l’animation annuelle d’exercices de gestion de crise cyber. S'appuyant sur les kits de l'ANS et son expertise, Oppida met à l'épreuve la cellule de crise décisionnelle de l’établissement.

En savoir plus sur Oppida

L’instruction DNS/2025/12 du 22 janvier 2025

L’obligation pour les établissements de mettre en œuvre 7 actions urgentes et prioritaires

En cohérence avec le programme CaRE, et dans la continuité de la Directive NIS 1 (Network and Information Security), l’instruction gouvernementale du 22 janvier vise à renforcer la résilience des établissements en cas de cyberattaque.

Tous les établissements sanitaires doivent mettre en œuvre 7 actions urgentes et prioritaires, résumées ici :

  • Action 1 : Réaliser chaque année un exercice de crise cybersécurité

    Cet exercice doit être indiqué sur la plateforme nationale de suivi des systèmes d’information de santé. Le retour d’expérience de l’exercice doit être intégré dans le Plan d’Amélioration de la Qualité (PAQ) de l’Etablissement.

  • Action 2 : Chaque établissement doit s’auto-évaluer

    Vis-à-vis des mesures cyber dites prioritaires et déclarer chaque année son niveau de maturité sur la plateforme nationale de suivi des systèmes d’information de santé.

  • Action 3 : Réaliser régulièrement des audits de sécurité de certaines infrastructures informatiques

    Tous les établissements doivent être inscrits au club SSI (porté par l’ANSSI), ainsi qu’au service SILENE. Un audit ADS (Active Directory Security) doit être réalisé à fréquence trimestrielle pour l’ensemble des annuaires de l’établissement.

  • Action 4 : Formaliser un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA)

    Cette démarche PCA/PRA doit être mise en œuvre au plus tard fin juin 2025 dans tous les établissements.

    • D’ici à fin juin 2026, tous les établissements doivent formaliser des Bilans d’Impact sur l’Activité (BIA) pour l’ensemble de leurs services critiques (notamment Urgences et Chirurgie) et de leurs services médico-techniques (pharmacie, imagerie, laboratoire…).
    • D’ici à fin juin 2027, ces BIA doivent être étendus au reste des services de soins, aux services administratifs et aux services logistiques. Le PCRA (Plan de Continuité et de Reprise d'Activité) cadre doit être réalisé pour l’ensemble des services.

  • Action 5 : Intégrer le volet cybersécurité dans la qualité et la gestion des risques de l’établissement.

    Les actions cyber doivent être précisées et suivies dans le Plan d’amélioration de la qualité de l’établissement (PAQ).

  • Action 6 : Se conformer aux référentiels d'identification et d'authentification

    Les établissements doivent définir une trajectoire de sécurisation des moyens d’identification électronique (MIE) des professionnels qui exercent sous leur responsabilité.

  • Action 7 : Établir le calcul de la part du budget dédié au numérique 

    Calculer la part du budget numérique dans le budget global de l’Etablissement. Cette donnée doit être renseignée sur la plateforme nationale de suivi des systèmes d’information de santé.

Pourquoi choisir Oppida pour le programme CaRE ? 

Professionnelle de santé utilisant un ordinateur pour la cybersécurité médicale.
Professionnelle de santé utilisant un ordinateur pour la cybersécurité médicale.

Oppida est qualifié PASSI LPM « prestataires d’audit de la sécurité des systèmes d’information qualifiés pour les besoins de sécurité nationale et vous offre des prestations d’expertise, d’évaluation et de conseil pour maîtriser vos risques numériques et préserver votre cybersécurité.

La démarche d'Oppida permet de révéler les risques spécifiques à votre établissement, assurant une protection contre les scénarios d'attaques majeurs et l'atteinte des objectifs du programme CaRE.

Information importante : La date limite de dépôt du dossier de déclaration d’atteinte des objectifs est reportée au 30 juin 2025 (au lieu du 28 mars 2025). Cette modification sera officialisée par un arrêté en cours de publication.

Je choisis Oppida

Pourquoi choisir Apave et Oppida pour vous accompagner dans votre sécurité numérique ?

Chiffre #1

Le groupe Apave et ses filiales Apave Digital et OPPIDA sont référencées pour accompagner les établissements de santé dans le cadre du programme CaRE.

Chiffre #2

Une expérience significative dans la maîtrise des risques techniques, humains, environnementaux et désormais numériques auprès des établissements du secteur de la santé et du médico-social.

Chiffre #3

20 ans d'expérience sur des techniques de pointes en cybersécurité.

Sur le même
thème