Financements « sensibles » disponibles dès 2023, investissement ciblé sur les « objets » techniques prioritaires ou encore intégration de critères de convergence/mutualisation pour les établissements de santé : la « task force cyber » planche actuellement sur l’identification des priorités du plan cyber pour 2023-2024, d’après un document obtenu par TICsanté.
Le « plan de renforcement cyber » des établissements de santé mis en place à la suite d’annonces du président de la République en février 2021 se précise.
Le plan piloté par l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et France Relance était doté d’une enveloppe de 136 millions d’euros, auxquels se sont ajoutés les 20 millions d’euros annoncés après la cyberattaque du centre hospitalier Sud-Francilien (CHSF) de Corbeil-Essonnes, rappelle-t-on.
Fin 2022, les échéances du plan de préparation aux incidents cyber, qui impose que « 100% des établissements de santé les plus prioritaires » aient réalisé de nouveaux exercices « d’ici mai 2023 », avaient été annoncées par le gouvernement.
L’objectif de sécurité informatique a depuis été décliné avec une délégation de 10 millions d’euros pour la réalisation d’exercices de crise par 100% des établissements désignés opérateurs de service essentiels (OSE) et 50% des autres établissements, toujours d’ici mai.
Annoncée fin 2022, une task force cyber planche plus spécifiquement sur ce nouveau plan, qui inclut le secteur médico-social.
Elle élabore son programme de travail lors d’ateliers, notamment pilotés par la délégation ministérielle au numérique en santé (DNS) et l’Agence du numérique en santé (ANS), réunissant l’écosystème de la santé numérique. Son 5ème atelier s’est tenu le 7 mars.
Dans un document transmis à TICsanté et présenté lors de l’atelier du 28 février, le ministère rappelle ainsi les « ambitions du plan cyber » avec :
- – la mise en place d’un « socle cyber » grâce à un financement direct des établissements,
- – des appels à projets cyber pour tous les établissements de santé afin de financer les investissements, identifier les thématiques prioritaires et aller vers un véritable « accompagnement national ».
Un « profilage » en fonction du type d’établissement :
L’objectif est d’aboutir à un financement « pérenne annuel », qui doit notamment permettre de financer le volet « ressources humaines » ou les licences informatiques, est-il précisé.
Le plan ne s’applique pas de la même manière dans tous les établissements, les pouvoirs publics privilégiant « un profilage en fonction du type d’établissement » et la prise en compte du niveau d’activité des structures.
En outre, le ministère prévoit d' »intégrer le numérique et la cyber (niveau cyber socle) à la certification HAS [Haute autorité de santé] des établissements ».
Par ailleurs, « à terme », il entend « concevoir un forfait numérique » récurrent dédié au numérique sous conditions d’atteinte du socle cyber. Le financement -« pour une petite partie du plan »- inclut « le développement de l’offre nationale et régionale » et « le pilotage du programme », précise le ministère.
Dans leur document de travail, les pouvoirs publics travaillent à l’identification des priorités du plan pour 2023-2024. Ainsi, ils préparent « l’hypothèse de financements ‘sensibles’ disponibles en 2023 », notamment « pour de l’investissement, sur des ‘objets’ techniques prioritaires, avec l’intégration de critères de convergence/mutualisation » et « avec des paliers atteignables en environ 12 mois ».
Pointant des « synergies/convergences à trouver », ils ont déjà établi un programme de travail différencié pour les établissements de santé publics et privés.
Pour les hôpitaux publics: un « périmètre minimal » a été décidé, le plan devra donc être décliné « obligatoirement à l’échelle de l’ensemble du groupement hospitalier de territoire (GHT) ».
Plusieurs conditions à sa mise en œuvre ont également été identifiées:
- – un responsable/point de contact unique
- – un pilotage unique sur l’ensemble du parc du GHT
- – un déploiement ‘unique’ sur le parc du GHT
- – un schéma directeur à jour pour les GHT sur les sujets d’infrastructure identifiés avec une convergence planifiée. »
Concernant les établissements de santé privés :
la task force appelle à « favoriser la mutualisation à travers la prestation de services » et propose pour cela de s’appuyer sur des « vecteurs d’achat communs/mutualisés », avec une « contrainte possible sur un volume minimal pour les marchés support ».
Afin de favoriser les synergies, elle souhaite aussi « encourager la logique de grappes d’établissements ». La définition de ces grappes et leurs modalités doivent encore être précisées.
L’ensemble de ces points doivent désormais être détaillés et déclinés par domaines prioritaires.
Source TIC SANTE Wassinia Zirar
Vous êtes un acteur du domaine de la santé ? Nous pouvons échanger avec vous sur les solutions de sécurité possibles, sur votre site ou de manière déportée.
Notre datacenter DATA³ est certifié ISO 27001 et ISO 27001 HDS Hébergeur de Données de Santé.