Cybersécurité : une « task force » pour préparer l’après-2023

Cette task force a été décidée à la suite de la cyberattaque dont a été victime l’hôpital de Corbeil-Essonnes en août, a expliqué le fonctionnaire de sécurité des systèmes d’information (FSSI) adjoint du ministère des Solidarités et de la Santé, Patrice Bigeard, lors du 7^e Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux organisé le 9 novembre par l’Agence du numérique en santé. « Il nous a été demandé de réfléchir à ce qui se passerait au-delà de 2023 [après le programme HOP’EN et son successeur né du Ségur, SUN-ES] pour éviter de revenir à des sempiternelles recommandations qui finalement sont assez rarement suivies », a-t-il déclaré.

Article connexe → En direct de l’APSSIS - Cyberattaque : le retour d’expérience et les conseils du GHT de Dordogne

La task force va travailler sur différents axes : gouvernance (pour mieux articuler les différentes strates, du ministère jusqu’aux GHT), aspects opérationnels (« arriver avec des solutions portées par le ministère pour le bénéfice des établissements »), chantiers techniques, offres des industriels, etc.

Jean-Baptiste Lapeyrie, directeur de projet à la Direction du numérique en santé (DNS) du ministère des Solidarités et de la Santé, a détaillé les premiers thèmes qui seront abordés : gouvernance des projets, dimensionnement des équipes, continuité d’activité, atteinte d’objectifs NIS, cadre réglementaire (dont le niveau européen)… « Nous sommes sur une phase initiale où nous avons beaucoup d’idées », a-t-il noté.

Il a aussi précisé les principes – souvent hérités de l’expérience du Ségur – qui seront mis en œuvre par la task force :

• Viser un déploiement massif et généralisé, en n’hésitant pas à recourir à des déploiements pilotes en amont ;
• Construire une trajectoire itérative, avec des incréments annuels ;
• Bien identifier les actions des différentes parties prenantes ;
• Activer l’ensemble des leviers (réglementaires, incitatifs, coercitifs, référencements, objectifs, etc).

Cette task force comprendra des représentants de l’Anssi, de l’ANS, de la DGOS, de la DNS, des ARS/Grades… « Quid des acteurs de terrain ? », a lancé une personne dans la salle. « Notre ambition est d’élargir la task force. Nous avons bien identifié la nécessité d’intégrer des RSSI, des DSI… Mais ce n’est pas encore fait, car nous sommes en phase de coconstruction. Nous l’élargirons au fur et à mesure. »

Afin que les recommandations de la task force soient inscrites dans la future feuille de route 2027 du numérique en santé, elles seront formulées d’ici à fin 2023.