Cybersécurité, exigences et perspectives
Locations
Mais, désormais, la gestion du risque cyber dans le secteur santé est devenue une priorité, avec des investissements massifs. 19 milliards d'euros ont été affectés au Ségur de la santé, dont une enveloppe de 2 millards consacrée au numérique en santé. Dans ce cadre, 350 millions sont dédiés au renforcement de la cybersécurité des structures de santé, dont 25 millions pour la réalisation d'audits cyber et 10 millions délégués aux agences régionalesen santé (ARS) pour la réalisation d'exercices de crises dans les établissements de santé. Enfin, dans la mise en oeuvre de France Relance, 136 millions d'euros ont été confiés à l'Anssi aux fins d'élévation du niveau de cybersécurité des établissements de santé. Plus récemment, suite à la cyberattaque ayant visé le CHU de Corbeil-Essonnes, une enveloppe de 20 millions d'euros supplémentaires a été débloquée pour financer des actions de renforcement au niveau de cybersécurité des établissements de santé.
Dans ce contexte, de très nombreux textes de toute nature définissent désormais les obligations cyber aux niveaux européen et français, au-delà bien sûr de l'exigence générale de sécurité issue du règlement général sur la protection des données. Quels sont les principaux textes applicables ou à venir, et leurs obligations ? Quels sont les acteurs concernés ? Rapide décryptage des principaux.
Exigences de sécurité
Certaines exigences visent les acteurs, quand d'autres visent les produits.
Maturité cyber des acteurs
La directive Network and information security ("Nis") a établi un niveau élevé commun de sécurité des réseaux et des systèmes d'information. Les Etats membres ont ainsi mis en place des exigences en matière de sécurité à la charge notamment des opérateurs de services essentiels ("Ose"), étant rappelé que tous les « établissements de soins de santé » y compris les hôpitaux et cliniques privés ont été qualifiés en France d'Ose. Les établissements de santé ont ainsi été soumis à des règles de sécurité destinées à prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d'information, et à notifier l'autorité compétente (l'Anssi) en cas d'incidents.
En France, sur cette base, les exigences se multiplient avec notamment une Obligation de conduire des exercices de crise cyber, sachant que le taux cible d'établissements ayant conduit un exercice de continuité d'activité pour les Ose est de 100% dès mai 2023. Plus encore, nombre d'établissements de santé, en particulier les établissements supports de GHT ont été désignés organismes d'importance vitale ("OIV") les soumettant au cadre réglementaire des lois de programmation militaires.
D'ici peu, les entités essentielles et importantes seront soumises à de nouvelles obligations au titre de la directive Network and information security 2 ("Nis 2") entrée en vigueur le 16 janvier 2023 et devant étre transposée en droit national avant le 17 octobre 2024, avec certaines exigences d'application directe et d'autres soumises à un délai de conformité. Ces entités devront prendre les mesures techniques opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services. Ces obligations comprennent au moins les politiques relatives à I'analyse des risques et à la sécurité des systèmes d'information ; la gestion des incidents ; la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ; la sécurité de la chaine d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ; la sécurite de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérablités ; des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ; les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ; des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ; la sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs ; l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de I'entité, selon les besoins. Les sanctions seront renforcées, jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial.
La directive Nis 2 devra, en outre, être mise en oeuvre de manière coordonnée avec la directive sur la résilience des entités critiques, entrée en vigueur le même jour et devant également transposée avant le 17 octobre 2024. Celle-ci impose aux Etats membres de recencer, avant le 17 juillet 2026, les entités critiques qui seront soumises à des mesures techniques et organisationnelles de sécurité appropriées et proportionnées pour garantir leur résilience (à savoir leur capacité à prévenir tout incident, s'en protéger, y réagir, y résister, I'atténuer, l'aboserber, s'y adapter et s'en rétablir). Ces entités seront désignées sur la base d'une évaluation des risques réalisée au préalable par l'Etat membre.
Au-delà de ces obligations concernant les acteurs et leurs prestataires, les produits eux -mêmes seront directement visés par des exigences de cybersécurité.
Maturité cyber des produits et services
Un règlement sur la cyber-résilience ("Cyberresilience act") a récemment été proposé par la Commission. Ce dernier sera notamment applicable aux services numériques en santé - à I'exception des dispositifs médicaux numériques ("DMN") déjà soumis à des règles de sécurité spécifiques en application du MDR - et visera à assurer un cycle de vie sécurisé (développement, mise sur le marché, maintenance) des produits comportant des éléments numériques, une documentation de conformité, ainsi qu'une transparence à I'égard des utilisateurs sur le niveau de sécurité, avec bien sûr, des sanctions administratives dissuasives, jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial.
Exigences spécifiques de sécurité et d' interopérabilité
Au-delà des exigences susvisées, la France s'est dotée de mesures spécifiques de sécurité dans le secteur de la santé.
Obligations réglementaires de sécurité
Ainsi, les services numériques en santé doivent être conformes aux référentiels de sécurité et d'interopréabilité élaborés par l'Agence du numérique en santé ("ANS") et approuvés par arrêté du ministre chargé de la santé. Leur respect conditionne l'attribution de fonds publics et/ou la prise en charge par l'Assurance maladie. A cet égard, la PGSSI-S, s'articule autour de référentiels d 'identification électronique, d'imputablité et de force probante élaborés dans un objectif d'opposabilité, ainsi que de guides, élaborés dans un objectif d'accompagnement.
Par ailleurs, au regard des risques particuliers liés l'interoperabilité entre solutions, des exigences ont été définies dans le CI-SIS, fixant les règles d'une informatique de santé communicante dans le secteur de la santé, du médico-social et du social, et proposant des règles techniques et sémantiques.
Plus spécifiquement concernant l'interopérabilité des dispositifs médicaux numériques (DMN) et DMN de télésurveillance, des référentiels spécifiques s'appliquent concernant "l'extraction, le partage et le traitement des données de santé".
Enfin et pour mémoire, en droit français, l'hébergeur de données de santé à caractère personnel doit être certifié sur la base du référentiel de certification des hébergeurs de données de santé (en cours de révision).
Bonnes pratiques et référentiels sectoriels
Au-delà de toutes les exigences réglementaires susvisées, différentes autorités sectorielles élaborent des exigences et bonnes pratiques dans la gestion du risque cyber. Ainsi, par exemple, le manuel de certification de la Has intègre un critère de maitrise des risques cyber : l'établissement de santé doit s'appuyer sur un système d'information sécurisé, prévoir un plan d'action de continuité et sensibiliser l'ensemble des professionnels. Dans le même sens, la Has a publié un guide des questions à se poser pour le choix d'un DMN dans sa pratique professionnelle.
Enfin, les acteurs du secteur social et médico-social ne sont pas en reste, avec un guide spécifique de l'ANS, et un observatoire MaturiNSMS (maturité numérique pour le secteur du social et du médico-social) ayant pour objectif d'accompagner les établissements et services sociaux et médico-sociaux dans leur montée en maturité en matière de numérique, via un système d'indicateurs à paliers.
La sécurité est ainsi devenue une priorité, et un enjeu collectif au sein des établissements impliquant les professionnels de la conformité, de la qualité, de la sécurité, de la protection des données personnelles, de la gestion des SI, et bien sûr tous les utilisateurs de mieux en mieux sensibilisés par les exercices et les retours d'expériences.
Publié également dans le n°492 d'Expertises, droit, technologies & prospectives.
