Les établissements sanitaires doivent renforcer leur cybersécurité

L’instruction n° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires a été publiée au Bulletin officiel Santé-Protection sociale-Solidarité du 17 février 2025.

Pour tirer les conséquences des incidents graves ayant touché des établissements de santé, en matière de sécurité informatique, en 2022, et pour améliorer la résilience de ces établissements sanitaires en cas de cyberattaque, ceux-ci doivent assurer la mise en œuvre de plusieurs actions urgentes et prioritaires dont le texte détaille le contenu.

Ces actions sont les suivantes :

• réaliser chaque année un exercice de crise cybersécurité dans les établissements de santé ;

• procéder à l’auto-évaluation de l’établissement vis-à-vis des mesures cyber dites prioritaires ;

• réaliser régulièrement des audits de sécurité de certaines infrastructures IT dans l’ensemble des établissements sanitaires ;

• formaliser un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) pour tous les établissements sanitaires ;

• intégrer le volet cyber dans la qualité et la gestion des risques de l’établissement ;

• se conformer aux référentiels d’identification et d’authentification ;

• calculer dans chaque établissement sanitaire la part du budget dédié au numérique et renseigner cette donnée sur la plateforme nationale de suivi des systèmes d’information de santé.

“Ces actions s’inscrivent dans la continuité de la mise en œuvre de la directive NIS 1 et de l’entrée en vigueur de la directive NIS 2 qui s’applique à la grande majorité des établissements de santé”, précise le document.