AMI cybersécurité

Face à l’augmentation des risques cyber, la stratégie ministérielle pour la cybersécurité a été renforcée. Dans ce contexte, l’ARS Bretagne lance un Appel à Manifestation d’Intérêt régional à destination des organismes gestionnaires des établissements sociaux et médico-sociaux de la région Bretagne portant sur le financement d’un exercice de gestion de crise cybersécurité.

L’appel à manifestation d’intérêt est présenté en 3 volets :

• Un premier volet administratif
• Un deuxième volet concernant la réalisation de l'exercice de gestion de crise cyber
• Un troisième volet permettant le dépôt des éléments justificatifs (sans caractère obligatoire, critères non cumulatifs)

L’appel à manifestation d’intérêt débutera le 12 septembre 2024 et prendra fin le 18 octobre 2024.

Exercices de gestion de crise cybersécurité Les établissements continuent à être la cible d’attaques informatiques (296 incidents d’origine malveillante signalés au CERT-Santé en 2023), touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant depuis plusieurs années s’est encore renforcé en raison des tensions internationales. L’augmentation de l’usage du numérique dans la santé augmente l’exposition des établissements du secteur aux cyberattaques, plaçant ainsi la santé dans le top 5 des secteurs les plus touchés (cf. ANSSI, Panorama de la cybermenace 2023).

L'exercice à réaliser est un exercice de gestion de crise cyber dont l'élément déclencheur est un incident cybersécurité. A ce titre, il doit permettre d'évaluer la capacité de l'organisme gestionnaire (OG) à poursuivre son activité de prise en charge des résidents dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impérativement impliquer la direction générale et les directions métiers de l'organisme gestionnaire.

Afin que les OG retenus dans le cadre de cet appel à manifestation d'intérêt puissent être accompagnés par un prestataire, l’ARS Bretagne allouera une subvention forfaitaire aux OG qui réaliseront leur exercice de gestion de crise cyber d'ici le 30 mai 2025. Celle-ci permettra de couvrir le coût de l’accompagnement par un prestataire référencé.

Des kits « exercices de crise cybersécurité » prêts à l’emploi et autoporteurs ont été élaborés afin de faciliter l’organisation de ces exercices.

Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en termes de cybersécurité :

• Kit débutant
• Kit intermédiaire
• Kit expert

Ces kits sont disponibles sur le site cyberveille-santé.

Afin de choisir le kit adapté, le niveau de maturité cybersécurité de l’OG peut être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.

Objectif de l’exercice de gestion de crise cyber et cible L’exercice doit permettre de vérifier :

• l’existence de procédures (alerte, signalement des incidents, escalade, continuité d’activité) ;

• leur connaissance par les personnes concernées et leur capacité de réaction ;

• leur efficacité.

Il doit également être l’occasion d’identifier les points positifs, et surtout de déceler les axes d’amélioration propres à chaque OG. Il s’agit donc d’un outil permettant à chacun de progresser, et doit être perçu comme tel.

Pour qu’il soit réussi, il est indispensable que l’exercice soit porté par la direction de l’OG.

A qui s'adresse cet appel à manifestation d'intérêt ?

L’appel à manifestation d'intérêt s’adresse à tous les organismes gestionnaires des établissements sociaux et médico-sociaux de Bretagne.

Modalités de candidature Les étapes de candidature sont les suivantes :

● Renseigner le formulaire de candidature à l'appel à manifestation d'intérêt sur "démarches-simplifiées.fr" entre le 12 septembre 2024 et le 18 octobre 2024

● Instruction des candidatures par l'ARS Bretagne et information des structures candidates (retenues et non retenues) jusqu'au 8 novembre 2024.

Calendrier Les candidatures peuvent être déposées entre le 12 septembre et le 18 octobre 2024 minuit sur "démarches-simplifiées.fr".

L'instruction des candidatures par l'ARS Bretagne et l'information des structures candidates (retenues et non retenues) aura lieu jusqu'au 8 novembre 2024.

Les exercices de gestion de crise cyber devront être réalisés au plus tard le 30 mai 2025.

Les pièces justificatives suivantes devront être transmise à l'ARS Bretagne au plus tard le 30 juin 2025 :

- Grille d’évaluation de la maturité cyber de l’établissement complétée - Questionnaire de satisfaction complété - Rapport d’exercice de gestion de crise cyber complété par le prestataire - Bon de commande du prestataire retenu signé - Facture du prestataire retenu

Pour toute question, nous vous invitons à contacter lionel.lecomte@ars.sante.fr.