Le décryptage de CARE par WELIOM

 Par Elodie Lafonta

Le programme CARE, au travers de deux de ses axes prioritaires, « Gouvernance et résilience » et « Sensibilisation », répond parfaitement à l’enjeu rappelé dans le plan blanc du numérique consistant à mettre en œuvre des mesures préventives de sécurité numérique (Premières mesures également identifiées dans le plan d’action des établissements critiques JO2024). 

WELIOM accompagne dès à présent des établissements, quelle que soit leur taille ou activité dans : 

• La mise en œuvre de l’outil PCA/PRA,
• La déclinaison de la cartographie du système d’information, 
• La conduite d’analyse de risque SI EBIOS Risk Manager,
• La candidature et la réalisation d’exercice de gestion de crise cybersécurité,
• Un audit sur les critères numériques de la certification HAS afin d’évaluer l’organisation sur la gestion des risques, et la promotion des bons usages (MSS, identitovigilance, utilisation de Mon Espace Santé, etc.)
• Des formations ou des sensibilisations, sur la cybersécurité, contextualisées, en complément de la campagne de communication « Tous cyber vigilants », ou encore des formations sur la plateforme de l'ANS…

Sur ce dernier point, nous sommes en effet convaincus que tous les projets précédents pour améliorer la gouvernance et la résilience doivent au préalable avoir fait l’objet auprès du public concerné d’une vérification des connaissances sur le risque cybersécurité. 

Le troisième axe de CARE, « Ressources et mutualisation », comprenant la favorisation de la mutualisation des ressources et des moyens entre établissements, le renforcement des grilles RH SSI, et ciblant l’atteinte d’un budget cyber sécurité suffisant, est un sujet incontournable de nos feuilles de route numérique et innovation établissement, notamment sur les GHT.

Enfin le dernier axe de CARE sur la « Sécurité opérationnelle » vise directement le rattrapage du retard puis le maintien du niveau acquis via la publication d’appels à financement ponctuels sur des sujets identifiés comme prioritaires. Le premier, ouvert à tous les établissements sanitaires, concerne les audits techniques autour de la maîtrise de l’annuaire Active Directory et de l’exposition sur internet. L’enjeu sera de réaliser régulièrement ces audits, atteindre un niveau de sécurisation minimum et rendre les établissements indépendants et responsables sur l’autoévaluation. 

Le prérequis à la candidature serait l’atteinte des prérequis de sécurité des systèmes d’information du programme SUN-ES  Dans la continuité de l’accompagnement SUN-ES mené, WELIOM a déjà prévu de guider ses établissements dans cette nouvelle candidature dès mars 2024.  

Si ce dernier axe reste une opportunité immédiate pour les établissements d’obtenir un soutien financier dans sa préparation au risque numérique. Il est intéressant de rappeler que le programme CARE comprendra des financements annuels pour maintenir les niveaux acquis du « Socle Cyber » et faciliter l’engagement des dépenses pluriannuelles. Un arrêté stipulant les points de contrôles est en cours de rédaction et les actions en lien avec la cyber seront désormais inscrites dans les CPOM établissements.