Instruction n° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires

BO Santé n°2025/3 du 17 février 2025

Un programme de renforcement de la sécurité des systèmes d’information des établissements sanitaires (ES), publics et privés, a été adopté sous le pilotage de la Délégation au numérique en santé (DNS) en collaboration avec d’autres instances.
Ce programme a été élaboré pour tirer les conséquences des incidents graves ayant touché des établissements de santé, en matière de sécurité informatique, en 2022.
Dans ce contexte et pour contribuer au durcissement de la résilience de ces établissements sanitaires en cas de cyberattaque, ceux-ci doivent assurer la mise en œuvre de plusieurs actions urgentes et prioritaires dont le texte détaille le contenu.
Ces actions sont les suivantes :
– réaliser chaque année un exercice de crise cybersécurité dans les établissements de santé ;
– procéder à l’auto-évaluation de l’établissement vis-à-vis des mesures cyber dites prioritaires ;
– réaliser régulièrement des audits de sécurité de certaines infrastructures dans l’ensemble des établissements sanitaires ;
– formaliser un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA) pour tous les établissements sanitaires ;
– intégrer le volet cyber dans la qualité et la gestion des risques de l’établissement ;
– se conformer aux référentiels d’identification et d’authentification ;
– calculer dans chaque établissement sanitaire la part du budget dédié au numérique et renseigner cette donnée sur la plateforme nationale de suivi des systèmes d’information de santé.
Ces actions sont en cohérence avec la mise en œuvre de la Directive NIS 1.