Cybersécurité et santé : les atouts du programme CaRE

Un contexte de menace sans précédent pour les établissements de santé

Les établissements de santé sont désormais dans la ligne de mire des cybercriminels. Jean-Charles Ferrand, Président de Partitio (filiale de Konica Minolta) le résume parfaitement : « La question n’est plus de savoir si une cyberattaque va survenir, mais quand » (digital-solutions.konicaminolta.fr). Les chiffres parlent d’eux-mêmes : plus de 1173 incidents ont été déclarés au CERT Santé en 2022-2023 (esante.gouv.fr). 

Un exemple parmi tant d’autres : l’attaque qui a frappé le CH de Versailles en 2022 a paralysé l’établissement pendant des mois (https://www.ch-versailles.fr/0/1/34/49). Ces attaques entraînent une perte massive de données et perturbent considérablement le bon fonctionnement des établissements de santé. Elles compromettent directement la qualité des soins et mettent concrètement en danger les patients.  

Le programme CaRE : une réponse structurée et ambitieuse

Genèse et objectifs du programme

Le 18 décembre 2023 marque un tournant. Depuis le Centre Hospitalier de Versailles, le ministère de la Santé lance officiellement le programme CaRE (Cybersécurité Accélération et Résilience des Établissements), doté de 250 millions d’euros jusqu’en 2025 — avec une ambition d’atteindre 750 millions d’ici 2027.

Son objectif ? Accélérer la mise à niveau des systèmes d’information hospitaliers et permettre aux établissements de rebondir rapidement après une attaque (https://esante.gouv.fr/espace-presse/presentation-du-programme-care).
 

Ce programme est le fruit d’une Task Force réunissant tous les acteurs du domaine : DNS, ANS, ANSSI, ARS, fédérations hospitalières… Une approche collective qui reflète un changement de paradigme : la cybersécurité n’est plus l’affaire des seuls informaticiens, mais bien l’affaire de tous.  À tel point que la certification HAS intègre désormais des critères explicites de cybersécurité (en savoir+ : https://www.has-sante.fr/upload/docs/application/pdf/2020-11/fiche_pedagogique_systeme_info_hospitalier_dossier_patient_certification.pdf) 

Les quatre axes stratégiques du programme CaRE

Le programme CaRE s’articule autour de quatre axes complémentaires :
 

1. Gouvernance et résilience : L’objectif est d’installer une culture de la cybersécurité au plus haut niveau décisionnel. Des kits pratiques (exercices de crise, modèles de PCA) accompagnent cette démarche.
2. Ressources et mutualisation : Une cybersécurité efficace passe par le renforcement des moyens humains et techniques. On parle ici de recrutements de RSSI, de formateurs, mais aussi de mise en commun des ressources au niveau territorial.
3. Sensibilisation : Former l’ensemble du personnel hospitalier aux bons usages est incontournable. Car même la plus sophistiquée des cyberdéfenses ne résiste pas à un clic malencontreux sur un lien frauduleux.
4. Sécurité opérationnelle : Ce dernier point reste majeur et représente celui qui mobilise le plus de budget. En mars 2024, deux guichets de financement destinés aux établissements de santé et portés par l’ANS ont été dotés d’une enveloppe de 65 millions d’euros pour le volet “Audits techniques : annuaires techniques et exposition internet” et de 1,4 millions d’euros pour le domaine “HospiConnect”. Plus de 1000 établissements ont été audités. (https://esante.gouv.fr/espace-presse/renforcer-la-cybersecurite-de-nos-etablissements-de-sante) 

La mobilisation est au rendez-vous : 85% des établissements éligibles ont participé au premier appel à projets. Un signe que le secteur a pris conscience de l’urgence. 

Les référentiels incontournables associés à CaRE

Pour assurer un niveau satisfaisant de cybersécurité, les établissements doivent se conformer à plusieurs cadres normatifs : 

• HDS (Hébergement des Données de Santé) :  

Depuis 2018, tout hébergeur de données de santé doit être certifié. Cette certification garantit des mesures techniques et organisationnelles conformes aux standards de sécurité.(  https://esante.gouv.fr/produits-services/hds) 

• SecNumCloud : 

SecNumCloud est label de l’ANSSI pour les clouds souverains et sécurisés. Il assure que le prestataire répond à des critères stricts en matière d’architecture, de chiffrement et de localisation des données. 

(https://cyber.gouv.fr/secnumcloud-pour-les-fournisseurs-de-services-cloud) 

• PGSSI-S (Politique Générale des Systèmes d’information de Santé) 

La PGSSI-S est la boussole qui guide les établissements vers les bonnes pratiques de sécurité. Elle définit le cadre de référence technique (https://esante.gouv.fr/produits-services/pgssi-s). 

• RGPD (Règlement général de protection des données) 

Le cadre légal qui renforce les obligations concernant les données sensibles 

de santé, avec des sanctions dissuasives en cas de manquement 

(https://www.cnil.fr/fr/reglement-europeen-protection-donnees) 

Konica Minolta : un partenaire stratégique pour accompagner le programme CaRE

Pour les établissements de santé, répondre aux enjeux du programme CaRE suppose de s’entourer des bons partenaires. Apporter aux établissements de santé le meilleur niveau de cybersécurité est l’objectif de Konica Minolta, à travers sa filiale Partitio. 

SI Vital : pour une cyber-résilience à toute épreuve

Imaginez un instant que votre hôpital soit frappé par un ransomware. Tout est bloqué. Comment continuer à soigner ? C’est là qu’intervient SI Vital, la solution phare de Partitio construite avec OVH. Elle fonctionne comme un « hôpital numérique de secours », structurée autour de 3 piliers :  

• Une sauvegarde inviolable de l’ensemble des données patients. 

• Un environnement isolé pour faire tourner vos applications critiques. 

• Une plateforme de communication de crise pour maintenir le lien entre équipes 

Souveraineté et conformité garanties

En matière de cybersécurité, la souveraineté des données est clé. C’est la raison pour laquelle l’ensemble Konica Minolta a fait le choix d’infrastructures souveraines françaises, certifiées HDS et ISO 27001, en partenariat avec OVHcloud (certifié SecNumCloud). Quoi qu’il arrive, vos données restent en France, protégées par le droit européen, hors d’atteinte des législations extraterritoriales (partitio.com). 

L'humain au cœur de l'approche

La technologie ne fait pas tout. Elle repose aussi sur la qualité de l’accompagnement humain. Tous les experts de Konica Minolta connaissent parfaitement le secteur hospitalier. Formation des utilisateurs, support réactif, maintenance préventive : tout est pensé pour que la sécurité devienne un levier de performance plutôt qu’une contrainte.
 

À noter que Konica Minolta est référencée auprès des centrales d’achat hospitalières (RESAH, CAIH). 

Choisir la sérénité numérique

Le programme CaRE constitue l’opportunité historique pour les établissements de santé de rattraper leur retard en matière de cybersécurité. Pour garantir le meilleur niveau de soin aux malades, investir dans la cybersécurité n’est plus une option mais une nécessité

Mais s’engager dans cette voie nécessite des partenaires fiables, capables d’apporter des solutions conformes aux exigences réglementaires tout en comprenant les spécificités du secteur.
 

Konica Minolta, avec sa filiale Partitio et sa solution SI Vital, répond précisément à ce besoin. Conformité aux normes, hébergement souverain, outils de continuité éprouvés et accompagnement personnalisé : tous les ingrédients sont réunis pour une transformation sereine.