Domaine : Règles socles

 Finalités et périmètre

1️⃣ La PGSSI-S

Qu'est ce que la PGSSI-S ?

La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S) a été mise en place pour répondre aux défis de la sécurité des données dans le secteur de la santé. Elle fixe un cadre pour protéger les informations personnelles et garantir la confiance des usagers.

Elle est le fruit de groupes de travail composés d’institutionnels, de représentants d’établissements, de professionnels de santé et d’industriels. 

Elle constitue un cadre pour que les ENS précisent les niveaux de sécurité nécessaires dès la phase de conception, avec des référentiels opposables et une approche par palier permettant de tenir compte des différents niveaux de maturité et d'envisager des cycles d'amélioration itérative ou continue.

La PGSSI-S joue aussi un rôle essentiel dans l'accompagnement des établissements de santé pour élaborer et mettre en œuvre leurs politiques de sécurité, à travers des guides pratiques proposant des recommandations sur les meilleures pratiques en matière de sécurité, facilitant ainsi l'application concrète des référentiels, et pouvant servir de matière première à la formation et sensibilisation.

Plusieurs textes européens vont impacter notre écosystème à court ou moyen terme.

La directive NIS2, en attente de transposition par l'ANSSI, va imposer des exigences de sécurité à un certain nombre d'entités (dites importantes ou essentielles), en fonction de leur appartenance à un secteur (par exemple les prestataires de soins) et de leur taille. Elle fait suite, en la remplaçant, à la directive NIS, qui avait créé les Opérateurs de Services Essentiels (OSE).

Le règlement Cyber Resilience Act (CRA) va en ce qui le concerne imposer aux fournisseurs de services numériques de respecter un certain nombre d'exigences. Le délai de mise en oeuvre est variable selon les exigences.

L’EEDS crée un contexte européen pour les données de santé, qui s'accompagne de règles relatives à l'interopérabilité, la confidentialité ou la sécurité.



En résumé, la PGSSI-S constitue un cadre stratégique essentiel pour le secteur de la santé en France. En aidant à définir les niveaux de sécurité pour les projets, en précisant les exigences pour les offres industrielles et en soutenant les établissements dans leurs politiques de sécurité, elle vise à renforcer la protection des données personnelles et à instaurer un climat de confiance entre tous les acteurs impliqués.

 Eléments de calendrier

• 2025 : Mise en concertation de la nouvelle version du RIE.
• T4 2025 : v2.0 du référentiel d'identité électronique personne morale et personne physique.

 Cadre réglementaire

•  Article L1470-5  :  Impose que les services numériques en santé soient conformes aux référentiels d'interopérabilité, de sécurité et d'éthique, afin de garantir l'échange, le partage et la confidentialité des données de santé personnelles.

2️⃣ La certification HDS

Qu'est ce que la certification HDS ?

La certification HDS (Hébergement de Données de Santé) a pour vocation de renforcer la protection des données de santé à caractère personnel et de construire un environnement de confiance autour de la e-Santé et du suivi des patients en France.

Les données de santé à caractère personnel sont des données sensibles.  Leur hébergement doit donc être réalisé dans des conditions de sécurité adaptées à leur criticité. La certification HDS définit les conditions de cet hébergement.

Elle est obligatoire pour toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même.

La certification HDS est encadrée par plusieurs textes législatifs et réglementaires qui visent à assurer la sécurité et la confidentialité des données de santé. Ces textes sont principalement le Code de la santé publique et le RGPD. Pour obtenir cette certification, il est impératif que les hébergeurs respectent ces exigences légales et normatives.

Le référentiel de certification HDS s'appuie aussi sur la norme ISO 27001 de management de la sécurité des SI complétée par des exigences spécifiques au numérique en santé. Le système de management de la sécurité tel que défini par la norme ISO 27001 doit préserver la confidentialité, l'intégralité et la disponibilité de l'information à l'aide d'un processus de gestion des risques et donne aux parties intéressées (hébergeur, client de l'hébergeur, etc.) la garantie que les risques sont gérés de manière adéquate.

En mai 2024, après concertation auprès des parties prenantes (hébergeurs de données de santé, représentants des ENS, fédérations d'établissements de santé,...) la version 2 du référentiel de certification HDS a été publiée au Journal officiel avec les principales améliorations suivantes : Simplification du référentiel de la norme NF ISO 27001:2022, en cas de sous-traitance ultérieure, amélioration de la visibilité  pour le client du respect des exigences HDS de l'hébergeur, ajout d'exigences de souveraineté (obligation de localisation de l'hébergement au sein de l'Espace Économique Européen et transparence de l'hébergeur en termes de sujétion de l'hébergeur ou de ses sous-traitant à des législations extra-européennes pouvant entrainer une violation des DSCP,..).

 Eléments de calendrier

• 2018 : La certification HDS est rendue obligatoire pour les hébergeurs.
• Novembre 2024 : entrée en vigueur de la nouvelle version du référentiel de certification HDS pour les nouveaux certifiés.
• Au plus tard le 1er juillet 2025, les hébergeurs de données de santé qui conserve des données dans le cadre d'un service d'archivage électronique doivent obtenir la certification HDS (décret à paraître prévu à l'Article 32 I.  de la Loi du 21 mai 2024 visant à Sécuriser et réguler l'espace numérique).
• Au plus tard en 2027 : renforcement des exigences en termes de souveraineté européenne en cohérence avec les futurs référentiels européens (EUCS – European Cybersecurity Certification Scheme for Cloud services).

 Cadre réglementaire

•  Les référentiels de la procédure de certification HDS | esanté.gouv 

3️⃣ Exigences SSI​

Que sont les exigences SSI ?

Les exigences Sécurité des Systèmes d'Information (SSI) sont des exigences qui s’appliquent aux ENS (fournisseurs de services numériques en santé, éditeurs/fabricants de solutions). 

Elles  constituent des prérequis aux grands programmes mis en œuvre par la puissance publique (Ségur, téléconsultation, etc.). Elles sont essentielles pour protéger les données sensibles et garantir la confiance des usagers. Elles sont encadrées par des corpus documentaires tel que la PGSSI-S.



Ces exigences sont issues :

▶︎ De réglementations nationales et/ou européennes (RGPD, HDS, PGSSI-S, NIS 2, CRA, eIDAS, EEDS, Téléconsultation, etc.),

▶︎ Du constat d’un manque de maturité SSI sur certaines thématiques sensibles pouvant conduire à des incidents de sécurité (les retours d’expérience du CERT Santé sur les incidents traités mais aussi les retours terrain sont notamment précieux pour une démarche pragmatique).



Elaborées sur la base d’ateliers de travail avec les acteurs de l’écosystème (ANSSI, CNIL, Ministère, CNAM, ANS, ES, fédérations d’industriels, etc.), elles font l’objet de concertations avant leur publication.

Quelles sont les exigences SSI ?

Les exigences SSI peuvent se regrouper selon les grandes thématiques suivantes (liste non exhaustive) :

 Confidentialité et Intégrité des données :

Il est essentiel de garantir que seules les personnes autorisées peuvent accéder aux données de santé. De plus, il convient d’utiliser des mécanismes de chiffrement pour protéger les informations sensibles, tant pendant leur stockage que lors de leur transmission et leur communication entre professionnels de santé et usagers, par exemple (protocoles sécurisés tels que HTTPS).



Authentification et Gestion des Accès :

Il est important de mettre en œuvre des systèmes d'identification électronique conformes au référentiel d’identification électronique  incluant l'authentification à deux facteurs pour renforcer la sécurité des accès. Par ailleurs, il est crucial de gérer rigoureusement les droits d'accès afin de prévenir toute divulgation non autorisée.

Mise à Jour et Gestion des Patches :Plan de Continuité d'Activité : :Plan de Continuité d'Activité :

Il est nécessaire d'élaborer un plan pour assurer la continuité des services en cas d'incident majeur, tel qu'une cyberattaque. Ce plan doit inclure la mise en place de sauvegardes régulières et des procédures de récupération claires pour minimiser l'impact d'un tel événement.



Audit et Conformité :

"Les solutions doivent être régulièrement auditées par pour vérifier leur conformité aux bonnes pratiques de sécurité. Dans certains cas, la réalisation d'un test d'intrusion par un prestataire d'audit qualifié (PASSI) est requise afin de vérifier qu'aucune vulnérabilité majeure  n'est présente dans l'application." (Vérification de la mise à jour et de la gestion des patchs pour corriger les vulnérabilités et s'adapter aux nouvelles menaces,...).



Conformité réglementaire

En complément de la conformité aux réglementations en vigueur comme le RGPD ou la certification HDS.

En perspective, il sera impératif de se conformer à des exigences plus spécifiques à la SSI comme le  Cyber Resilient Act (CRA) qui définit des règles de cybersécurité minimum pour les produits composés d’un ou plusieurs éléments numériques vendus sur le marché de l’UE, mise en conformité prévue pour octobre 2027.

4️⃣ Le programme CaRE

Le programme CaRE a pour objectif de renforcer la sécurité et la résilience des établissements de santé, ainsi que d’améliorer leur capacité à faire face à une cyberattaque. Co-piloté par la Délégation au numérique en santé (DNS) et l’Agence du Numérique en Santé (ANS), ce programme pluriannuel s’inscrit dans l’action 15 de l’axe 4 de la Feuille de route du numérique en santé 2023-2027.



Le programme se déploie en quatre axes :

1 - Gouvernance et résilience

Structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux, régionaux et locaux.



2 - Ressources et mutualisation

Prise en compte de la pénurie de talents et de ressources dans les établissements, et mise en avant du besoin de mutualiser et de pérenniser les ressources humaines.



3 - Sensibilisation

Encourager un engagement fort de chacune des parties prenantes de la cybersécurité dans les établissements de santé.



4 - Sécurité Opérationnelle

Soutenir financièrement les investissements jugés prioritaires via des « Domaines » (via des appels à financements et/ou appels à projets).

Ce dernier axe est lui-même décliné sous forme de domaines prioritaires, accompagnés via des programmes de financement, dont cinq sont définis à ce jour : ▶︎ Audits techniques – Annuaire technique & exposition sur internet,

▶︎ Stratégie de continuité et de reprise d’activité,

▶︎ HospiConnect,

▶︎ Accès distants,

▶︎ Postes de travail et détection.



De nombreux travaux ont été menés en 2024 dans le cadre du programme CaRE, sur les quatre axes du programme.

En continuité de 2023, les régions se sont mobilisées sur les exercices de crise et plus de 2235 exercices de crises ont été réalisés ou planifiés jusque fin 2024 soit 79% des ES. Une nouvelle version du kit exercice de crise est en test dans des établissements pilotes.

Une déclinaison médico-sociale du kit sur les Plans de Sauvegarde et de Continuité d’Activité a été construite et testée avec des représentants des établissements du secteur et sera publiée prochainement.



2024 a été marquée par la mise en place des Centres Régionaux de Ressources Cyber (via une instruction publiée en juillet 2024) avec le développement d'une offre de service guidée pour les ES et ESMS par les ARS.

HospiConnect a pour ambition de permettre le déploiement en établissements de solutions et d'organisations permettant d'assurer une authentification fiable des professionnels de santé, conforme au Référentiel d'Identification Electronique de la PGSSI-S. Il a été lancé à travers un premier appel à projets qui mobilise 15 lauréats jusqu'au printemps 2025, mais les premières retours d'expérience commencent à émerger et nourrissent les travaux de conception pour la suite du domaine.



Pour en savoir plus :  https://esante.gouv.fr/strategie-nationale/cybersecurite 

 Eléments de calendrier

• Le domaine "Annuaires techniques et exposition internet" a été lancé en mars 2024 et se terminera fin juin 2025.
• La construction du domaine "Stratégie de continuité et de reprise d'activité" a été réalisée avec un lancement prévu au premier trimestre 2025​.
• Les travaux sur le domaine "Sécurisation des accès distants" ont également démarré, pour mise en œuvre en 2025.
• Les conclusions de l'appel à projets HospiConnect permettront de lancer en 2025 la suite des dispositifs d'accompagnement.
• 2025 verra également la définition des prochains domaines prioritaires pour lesquels les établissements doivent être soutenus.

 Cadre réglementaire

•  Arrêté de financement du domaine 1 
•  Instruction n° DNS/2024/54 du 2 juillet 2024  relative aux missions des centres régionaux de ressources cybersécurité (CRRC)
•  Cahier des charges Appel à projets HospiConnect 

 Ressources disponibles

•  PGSSI-S : corpus documentaire de la politique générale de sécurité des systèmes d’information de santé | Portail Industriels 
•  Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) | G_NIUS 
•  PGSSI-S | Agence du Numérique en Santé 
•  Hébergement des données de santé (HDS) | Agence du Numérique en Santé 
•  Certification des hébergeurs de données de santé (HDS) | Agence du Numérique en Santé 
•  Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé | Légifrance 
•  Hébergement des données de santé (HDS) | Certification AFNOR 
•  Fiche thématique PGSSI-S | Agence du Numérique en Santé