Cybersécurité : la DNS publie une instruction pour renforcer la sécurité des SI en santé

Publié le vendredi 07 mars 2025 à 18h21

Face à l’augmentation des cyberattaques ciblant les établissements sanitaires, la Délégation au numérique en santé (DNS) a publié l’Instruction N° DNS/2025/12 du 22 janvier 2025. Ce texte impose aux établissements de santé publics et privés de mettre en œuvre un ensemble d’actions urgentes et prioritaires pour renforcer la cybersécurité et garantir la résilience du système de santé.

Un cadre d’action structuré pour améliorer la sécurité des SI

Cette instruction de la Délégation au numérique en santé s’inscrit dans le cadre du programme CaRE (Cybersécurité, Accélération et Résilience des Établissements), visant à protéger les infrastructures critiques de santé contre les menaces numériques croissantes. Elle repose sur sept actions majeures destinées à évaluer la maturité des établissements, améliorer leur préparation face aux incidents et renforcer l’identification des professionnels de santé. Ces mesures s’inscrivent dans la continuité des obligations de la directive européenne NIS 1 et anticipent l’application de la directive NIS 2, qui élargira prochainement les exigences en matière de cybersécurité pour les structures sanitaires​.

Les sept actions prioritaires à mettre en œuvre :

1️⃣ Anticiper les crises cyber avec des exercices annuels obligatoires :

Chaque établissement doit désormais organiser un exercice de crise cybersécurité au moins une fois par an, impliquant la direction générale et les équipes informatiques, médicales et de communication. Cette simulation permet de tester les réactions face à une attaque, d’évaluer la coordination des équipes et d’identifier les points faibles à corriger. Un retour d’expérience doit être systématiquement formalisé et intégré dans un plan d’amélioration de la qualité. Pour assurer le suivi de ces exercices, chaque établissement doit déclarer leur réalisation sur la plateforme nationale dédiée aux systèmes d’information de santé.

2️⃣ Évaluer régulièrement la maturité des établissements en cybersécurité :

Les établissements sanitaires doivent auto-évaluer chaque année leur conformité aux mesures prioritaires de cybersécurité. Cette déclaration, inscrite sur la plateforme nationale, vise à établir un diagnostic précis des forces et faiblesses de chaque structure en matière de protection numérique. Les résultats doivent être utilisés pour ajuster les stratégies de cybersécurité et intégrer des actions correctrices dans le plan d’amélioration de la qualité de l’établissement.

3️⃣ Des audits de sécurité renforcés pour détecter les failles :

Les établissements doivent mettre en place un programme d’audits de sécurité récurrents pour identifier les vulnérabilités de leurs infrastructures informatiques. Cela inclut l’inscription au club SSI piloté par l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’utilisation du service SILENE de détection des menaces et la réalisation d’audits trimestriels des annuaires informatiques (Active Directory). Les rapports d’audit doivent être exploités pour déployer des mesures correctives et garantir un niveau de sécurité minimum, avec l’objectif d’atteindre un score de 2 d’ici septembre 2025 et un score de 3 d’ici mars 2026.

4️⃣ Garantir la continuité et la reprise des activités en cas d’attaque :

Pour limiter l’impact des cyberattaques sur la prise en charge des patients, chaque établissement doit élaborer un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) avant fin juin 2025. Un comité de pilotage doit être mis en place pour coordonner cette démarche et identifier les services critiques (urgences, laboratoires, pharmacie, imagerie). D’ici 2027, l’ensemble des services de soins, administratifs et logistiques devront être intégrés à cette planification, garantissant ainsi une reprise rapide des activités après un incident.

5️⃣ Intégrer la cybersécurité dans la gestion des risques des établissements :

La cybersécurité devient un enjeu structurant des politiques de qualité et de gestion des risques hospitaliers. Chaque établissement doit inclure dans son plan d’amélioration de la qualité (PAQ) l’ensemble des actions correctrices issues des audits, exercices de crise et stratégies de résilience. Ce suivi garantit une amélioration continue et une prise en compte systématique des enjeux cyber dans les décisions stratégiques.

6️⃣ Sécuriser l’identification et l’authentification des professionnels de santé :

Afin de prévenir les intrusions et l’usurpation d’identité, les établissements doivent se conformer aux référentiels d’identification et d’authentification définis par la PGSSI-S. Cela passe par l’utilisation de moyens d’identification électronique (MIE) sécurisés comme les cartes CPS ou Pro Santé Connect, ainsi que par la mise en place d’un authentification à double facteur (2FA). Les grandes structures, disposant de plus de 5000 utilisateurs accédant à des services sensibles, devront également déployer une solution de Single Sign-On (SSO) pour simplifier et sécuriser les accès.

7️⃣ Un suivi budgétaire du numérique dans chaque établissement :

Les établissements sanitaires doivent désormais calculer et déclarer la part de leur budget dédiée au numérique, ainsi que le nombre d’emplois consacrés à la cybersécurité. Cette donnée, transmise chaque année sur la plateforme nationale, permet d’évaluer les efforts financiers consacrés à la sécurisation des infrastructures informatiques. Pour les structures mutualisant certaines dépenses numériques, une répartition équitable entre établissements doit être effectuée en fonction de leur activité respective.

Une réponse urgente face à une menace grandissante

Les incidents récents ayant ciblé des établissements de santé en France et en Europe soulignent l’importance de ces mesures. Le renforcement de la cybersécurité est désormais une priorité pour éviter des interruptions critiques des services médicaux et protéger les données des patients. En appliquant ces sept actions, les établissements de santé seront mieux armés pour faire face aux attaques et garantir la continuité des soins en toutes circonstances. L’Instruction N° DNS/2025/12 marque ainsi une nouvelle étape vers une sécurisation accrue des infrastructures numériques de santé, dans un contexte où la menace cyber ne cesse de croître.

Pour rappel, selon l’Agence de l’Union européenne pour la cybersécurité (ENISA), entre janvier 2021 et mars 2023, 53 % des incidents de cybersécurité dans le secteur de la santé ont touché des prestataires de soins, en particulier des hôpitaux (42 %).