L'engagement institutionnel en matière de cybersécurité
Depuis plusieurs années, un investissement massif a été engagé pour renforcer la cybersécurité des établissements de santé (3,9 millions d’euros alloués entre 2021 et 2023, et 20 millions supplémentaires via le programme SUN-ES). Environ 94 % des incidents de sécurité proviennent de tentatives de phishing, rendant la sensibilisation et la prévention des comportements à risque cruciales. L'ARS a soutenu 310 établissements dans des exercices de gestion de crise cyber en 2023-2024, afin de préparer les établissements aux menaces.
Par ailleurs, le programme CaRE, doté de 250 millions d’euros jusqu’à fin 2027, vise à renforcer encore la cybersécurité du secteur, avec déjà 510 établissements engagés sur des audits techniques et exercices de crises via le premier appel à financement. Un second appel à financement traitant des plans de continuité et de reprise d’activité et de la sécurisation des sauvegardes, est ouvert aux candidatures des établissements sanitaires depuis le 2 septembre 2025 jusqu’au 31 octobre 2025. (cf. Site ANS ). Le programme CaRE implique les acteurs nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GIP SESAN) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS). Dans ce cadre, l’ARS Île-de-France a pour mission d’accompagner les établissements dans leur démarche de candidature puis de recueillir les candidatures, informer et conseiller sur les prérequis, les objectifs et cibles à atteindre et accompagner les candidats dans le déploiement de leur cybersécurité. Le GIP SESAN accompagne les établissements sur l'ensemble des appels à financements du programme CaRE.
Préparation de réponse à la crise : le plan ORSAN cyber
Les deux dernières cyberattaques majeures en Île-de-France ont mobilisé les acteurs régionaux dans un esprit de solidarité, via la fourniture de matériel, l’expertise RSSI et des aides financières. Pour améliorer la réponse à ces incidents, l’ARS Île-de-France a élaboré un plan régional intégré à la stratégie de gestion des risques, le plan ORSAN cyber, faisant de la région la première à disposer d’un volet dédié à la cybersécurité.
Ce plan vise à garantir la continuité des soins et la sécurité des patients, ainsi qu’à définir les moyens techniques et les réponses immédiates en cas d'attaque. Il permet de mobiliser des équipements et une expertise technique pour stabiliser la situation dès les premiers instants. Ce dispositif est soutenu par l’Agence, avec l’appui du GIP SESAN et de l’APHP.
L’offre du GIP Sesan
Le GIP SESAN offre aux acteurs de la région une palette complète d’outils et de prestations, allant de la cybersurveillance à l’appui en matière de ressource en RSSI en passant par le soutien en situation de cyber-attaque. En savoir plus.
Pour aider les établissements, l’ARS Île-de-France et le GIP SESAN mettent à disposition des kits de sensibilisation.
Et le médico-social ?
Dès 2024, l’accompagnement du secteur médico-social en matière de cybersécurité s’accélère également. En complément de l’offre déjà proposée par le GIP SESAN, accessible aux établissements sanitaires comme médico-sociaux, un accompagnement est proposé aux structures en tenant compte de leur maturité numérique et SSI : sensibilisation de premier niveau, audit de maturité cyber, exercice de cybercrise adapté au médico-social, etc. Ce dispositif est financé par l’ARS Ile de France dans le cadre du développement des Centre régionaux de Ressources Cyber et à ce titre est gratuit pour les ESMS.
Par ailleurs, le programme CaRE sera ouvert au secteur médicosocial, avec un premier appel à projet fin 2025. De nouveaux kits d'exercices adaptées à ce secteur seront qualifié en fin d'année, pour être mis à disposition sur le site de l'ANS début 2025.
Pour plus d’information : ssi@sesan.fr
La cybersécurité, une responsabilité partagée
Tous les professionnels de santé, du personnel soignant au personnel administratif, ont un rôle clé à jouer dans la cybersécurité. Des gestes simples comme l'utilisation de mots de passe robustes, la mise à jour régulière des logiciels ou encore la vigilance face aux mails suspects peuvent prévenir des incidents aux conséquences potentiellement graves.
En ce mois de la cybersécurité, l'ARS Île-de-France réaffirme son engagement à protéger les données de santé des Franciliennes et Franciliens, tout en encourageant l’ensemble des acteurs de la santé à s’impliquer activement dans cette lutte contre les cybermenaces. Protéger la santé, c'est aussi sécuriser nos systèmes d’information ! La cyber-résilience du système de santé régional est donc l’affaire de tous.
