Intervention de Alain Milon

Depuis 2023, chaque établissement du secteur sanitaire organise un exercice de cyberattaque au moins une fois par an, conformément aux exigences des directives européennes.

La persistance d’un niveau élevé de menace cyber justifie le besoin de préparation et d’anticipation pour faire face à des attaques et incidents d’origine malveillante.

Le secteur social et médico-social, (SMS) qui traite, collecte et échange nombre de données de santé et de données sensibles au sens de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, est aussi régulièrement la cible d’attaques cyber.

Or, au même titre que toute autre organisation, les établissements et services du secteur social et médico-social doivent être en mesure d’anticiper la survenue de cyberattaques pour en limiter les conséquences et continuer du mieux possible à exercer leurs missions.

Le présent amendement vise donc à instaurer un système de sécurité cyber pour les établissements et services du secteur social et médico-social en sanctuarisant une partie des crédits du fonds pour la modernisation et l’investissement en santé (Fmis). Ces crédits seraient affectés au financement des exercices de cyberattaques et à l’organisation de leur mise en œuvre avec l’appui de prestataires experts en 2024, selon les mêmes modalités que celles qui sont prévues pour le secteur sanitaire et détaillées dans l’instruction du 30 janvier 2023 relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement, mise en conformité avec la directive européenne.

Dans le cadre du Ségur du numérique, un montant de 10 millions d’euros a été alloué à la mise en œuvre de ces exercices pour les années 2022 et 2023. Ce montant est exclusivement consacré à des prestations d’animation d’exercices de crise, en priorité dans les établissements supports de groupements hospitaliers de territoire (GHT) désignés et dans les établissements de santé publics et privés. Ces financements seront octroyés aux agences régionales de santé (ARS) dans le cadre d’un abondement du fonds d’intervention régional (FIR).

L’obligation européenne de réaliser des exercices de cyberattaque s’appliquant dès 2024 pour le secteur SMS, il est urgent de mobiliser une enveloppe budgétaire qui devra être au minimum du même montant que celle qui est prévue pour le secteur sanitaire, dont je rappelle qu’il compte cinq fois moins de structures que le secteur social et médico-social.