Le programme Cybersécurité accélération et Résilience des Etablissements (CaRE)

Article

En lien avec la feuille de route du numérique en santé, le programme CaRE représente un plan massif pluriannuel (2023-2027), accompagné de financements ponctuels, annuels, ainsi que d’une offre de services visant à coordonner l’offre de services nationale et régionale.

Etabli pour la période 2023-2027, la volonté d’intégrer une majorité des établissements de santé dès 2023 est forte. Afin d’obtenir des résultats concrets le plus tôt possible, les établissements seront accompagnés tout au long du programme par les Agences Régionales de Santé, les GRADeS, ainsi que l’Agence du Numérique en Santé (ANS).

Les exercices de gestion de crise, initiés dès cette année pour chaque établissement sanitaire, devront être réalisés annuellement. Toujours dans un souci d’amélioration de la résilience, un Plan blanc numérique est mis à disposition des établissements, ainsi qu’un kit PCA/PRA. Ce kit, déjà diffusé publiquement, est toujours pour l’heure en test auprès d’établissements pilotes. La Corse compte un établissement pilote, le Centre Hospitalier de Corte-Tattone. Un webinaire, destiné aux RAQ et DAQ des ES sera organisé par l’ARS à ce propos, début octobre.

L’ancrage de la cybersécurité se fera également, à partir de 2024, à travers de nouveaux critères d’évaluation au sein de la certification de la Haute Autorité de Santé. Cette dernière, a procédé à un recrutement d’inspecteurs experts des Systèmes d’information hospitaliers (SIH) afin de pouvoir permettre la réalisation des futures visites de certification. L’arrêté approuvant le nouveau référentiel devrait être publié dans le courant du mois d’octobre 2023.

Le programme CaRE a pour objectif d’impliquer pleinement les directions d’établissement, les Présidents de Commission Médicales d’Etablissements, ainsi que l’ensemble des professionnels, sur le plan de la cybersécurité. La sensibilisation, ainsi que la formation adaptée à chaque profil, représentent les chantiers de travaux prioritaires.

Parce qu’ils disposent de données de santé, et jouent un rôle prépondérant dans le milieu de la santé, les établissements du secteur médico-social ont également pour objectif d’être intégrés au programme CaRE. En 2022, ce sont 87 incidents qui ont été signalés par des ESMS. Il est donc impératif de permettre au secteur médico-social de disposer d’un plan d’action 2023-2027 ambitieux, adapté, et cohérent avec la feuille de route sanitaire. La gouvernance du plan cybersécurité, la mutualisation des ressources cyber (par exemple au sein des grappes), la sensibilisation des professionnels, l’accompagnement à la mise en conformité réglementaire (RGPD…), ainsi que l’accompagnement à l’acquisition d’outils divers représentent des enjeux majeurs.