Face à une menace persistante de cyberattaques visant les établissements de santé, le gouvernement a initié en décembre un nouveau programme de financements pour les aider à renforcer leur sécurité. Ce programme, baptisé CaRE, a dévoilé son premier axe en janvier et porte sur les “audits techniques, l’exposition internet et les annuaires techniques”.

Fin janvier, l’Agence nationale de la sécurité des systèmes d’information (Anssi) publiait la troisième édition du “Panorama de la cybermenace” en 2023. Sur le podium des principales victimes des attaques, les établissements de santé (10%) arrivent en 3e position, derrière les collectivités locales et territoriales (24%) et les TPE/PME/ETI (34%), soit une proportion identique à 2022. Si les établissements de santé sont aussi représentés, c’est aussi parce que “les acteurs malveillants n’ont pas forcément besoin d’un haut niveau de sophistication pour cibler des entités de secteurs encore trop vulnérables comme la santé”, pointe l’Anssi.

Fort de ce constat et de la récurrence de la menace envers les établissements de santé, les pouvoirs publics ont lancé le programme “Cybersécurité accélération et Résilience des Établissements” (CaRE), dont le coup d’envoi a été donné le 18 décembre 2023 par Aurélien Rousseau et Jean-Noël Barrot, respectivement ancien ministre de la Santé et de la Prévention et ancien ministre délégué auprès du ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique. Ce programmé a été enclenché après les cyberattaques du Centre hospitalier sud francilien CHSF et du centre hospitalier de Versailles en 2022. Objectif : renforcer la cybersécurité des établissements de santé via des appels à financement dédiés à certaines problématiques. Le Domaine 1  axé sur les “audits techniques, l’exposition internet et les annuaires techniques” est le premier à voir le jour.

Le plan d’action est décliné en quatre axes : gouvernance et résilience ; ressources et mutualisation ; sensibilisation ; sécurité opérationnelle. “C’est un programme ambitieux car nous évoluons dans une situation de crise. Il va distinguer deux grandes ambitions : la première consiste à accompagner l’ensemble des établissements à se préparer, à réagir et à s’organiser, car nous ne pouvons pas garantir qu’ils ne seront pas attaqués. La seconde est de soutenir la sécurité opérationnelle et de pallier la dette technologique de l’ensemble des établissements. Pour cela, des moyens d’ampleur sont mis en place. Une enveloppe de 250 M€ est directement fléchée vers nos établissements et les offres d’accompagnement portées par les régions pour 2024-2025. Au total, nous envisageons une enveloppe de 750 M€ pour répondre à l’ambition de l’ensemble du programme”, indiquait  Élodie Chaudron, directrice du programme CaRE pour l’ANS, lors d’un webinaire le 11 janvier.