Santé-Piratage du système de santé par l'ISAC 4/14/2026

Cette semaine, Santé-ISAC^®Le piratage des soins de santé^® Ce document examine le budget récemment publié par le président et les documents de justification budgétaire du Congrès, émanant de la CISA (Agence de cybersécurité et de sécurité des infrastructures) et du HHS (Département de la Santé et des Services sociaux). Nous expliquons la nature de ces documents, analysons leurs aspects pertinents en matière de cybersécurité pour le secteur de la santé, et proposons un contexte permettant de les interpréter au mieux.

Pour rappel, il s'agit de la version publique du blog Hacking Healthcare. Pour des analyses et des avis plus approfondis, devenez membre de H-ISAC et recevez la version TLP Amber de ce blog (disponible sur le portail des membres).

Version PDF:

Version texte :

Bienvenue à Hacking Healthcare^® !

Quelles pourraient être les conséquences de la demande budgétaire fédérale de l'administration Trump pour l'exercice 2027 sur la cybersécurité du secteur de la santé ?

La semaine dernière, l'administration Trump a publié le budget du président pour l'exercice 2027, et les ministères et agences fédérales ont publié leurs justifications budgétaires respectives soumises au Congrès. Bien que ces documents ne soient pas juridiquement contraignants et ne fixent pas le budget fédéral, ils jouent un rôle crucial dans le processus d'affectation des crédits et reflètent les priorités et les intentions politiques de l'administration Trump.

Quel est le budget du président ?

En règle générale, le budget du président est un document remis au Congrès en début d'année. Il présente les grandes lignes de sa politique, une sélection des programmes prioritaires pour atteindre ces objectifs, ainsi que le budget que l'administration juge nécessaire à leur réalisation. Trump a publié son nouveau budget de 92 pages pour l'exercice 27 le 3 avril.

Que sont les justifications budgétaires du Congrès ?

Les justifications budgétaires soumises au Congrès sont des documents préparés par les ministères et agences fédérales qui appuient ou « justifient » la demande budgétaire du Président pour leur organisation. Ces documents détaillent le montant des fonds demandés, leur destination, l'importance de ces activités et les résultats escomptés. Le Congrès utilise ensuite ce document pour examiner et questionner la demande, la comparer aux dépenses antérieures et décider d'approuver ou de modifier le financement.

Que prévoit le budget présidentiel pour l'exercice 27 ?

Russell Vought, directeur du Bureau de la gestion et du budget (OMB), a rédigé l'introduction du budget du président, qui se présente comme un message au Congrès. On y lit que « le budget 2027 s'inscrit dans la continuité de la vision du président en poursuivant la maîtrise des dépenses non liées à la défense et la réforme de l'administration fédérale ».^[I] Il poursuit en déclarant que « le budget propose une réduction de 10 % par rapport aux niveaux non liés à la défense de 2026 », avant de souligner à quel point ce budget est axé sur les questions de sécurité nationale.

Après l'introduction, on trouve une présentation générale des ministères et agences. Les deux plus pertinents pour les membres du Health-ISAC sont le Département de la Sécurité intérieure (DHS), pour sa section sur la CISA, et le HHS. Ces sections comprennent les éléments suivants :

• CISALe budget du président prévoit une réduction de 707 millions de dollars du budget de la CISA. Ce passage reflète la volonté de l'administration Trump de restructurer et de recentrer la mission et l'organisation de la CISA sur la défense du réseau fédéral et la protection et la résilience des infrastructures critiques. Une grande partie de ce texte semble avoir été reprise à l'identique de la version précédente ; il dénonce l'élargissement des missions, les programmes redondants et la politisation de l'agence.^[Ii] [Iii]
• HHS—Le budget proposé pour le HHS « demande 111.1 milliards de dollars d’autorisation budgétaire discrétionnaire… soit une diminution de 15.8 milliards de dollars ou de 12.5 % par rapport au niveau adopté en 2026. »^[Iv] La priorité politique majeure défendue dans cette section est le programme « Rendre l’Amérique en bonne santé à nouveau » (MAHA). Toutefois, le point budgétaire le plus pertinent pour les membres du Health-ISAC est probablement la réduction proposée de 356 millions de dollars du budget de l’Administration pour la préparation et la réponse stratégiques (ASPR). Cette réduction s’explique en grande partie par la volonté de l’ASPR de se recentrer sur ses missions essentielles et de se désengager des responsabilités accrues liées à la réponse à la COVID-19.

Bien que les réductions budgétaires proposées pour le HHS et la CISA soient quelque peu préoccupantes, le budget du Président est stratégique et de haut niveau. Pour comprendre comment ces réductions pourraient affecter les programmes de cybersécurité et de résilience concernés, les justifications parlementaires des ministères fournissent des détails.

Que disent les justifications budgétaires du HHS et de la CISA présentées au Congrès ?

Pour une vision plus claire de la mise en œuvre du budget du Président, les justifications budgétaires du Congrès pour le HHS et la CISA fournissent beaucoup plus d'informations.

• CISA—Le document de 279 pages justifiant le budget de la CISA auprès du Congrès détaille l'origine des 700 millions de dollars de coupes budgétaires proposées. Parmi les éléments les plus pertinents concernant les politiques et le budget, on trouve :
  • Un nouvel effectif de référence de 2 865 employés a été établi. Ce chiffre est en baisse par rapport aux 3 732 employés recensés à la fin de l’administration Biden et représente la suppression de 206 postes au sein de la Division de la cybersécurité, de 225 au sein de la Division des opérations intégrées et de la quasi-totalité de la Division de la mobilisation des parties prenantes. Ces réductions d’effectifs représentent environ 360.5 millions de dollars de la réduction budgétaire.
  • Une augmentation de 5 millions de dollars est prévue pour l'analyse et la planification en vue de l'élaboration d'un Registre national des risques. Ce registre permettra de poursuivre les travaux d'identification des risques pesant sur les infrastructures et les systèmes nationaux, d'élaborer des scénarios et des évaluations de risques, et de présenter une sélection de risques dans un rapport comprenant une représentation visuelle permettant de comparer les conséquences et la probabilité ou la plausibilité des différents risques. Cette initiative avait été prévue par un décret présidentiel antérieur du président Trump. Améliorer l'efficacité grâce à la préparation des États et des collectivités locales.
  • Une réduction de budget de 9.8 millions de dollars pour le programme Joint Cyber ​​Defense Collaborative (JCDC).
  • Prioriser le recrutement et le financement des coordinateurs d'État en cybersécurité de la CISA afin qu'ils agissent en tant que personnel de soutien en cybersécurité affecté au niveau de l'État et désigné par le gouvernement fédéral, pour aider à renforcer les défenses locales, orienter les réponses coordonnées et soutenir les efforts de rétablissement face à l'escalade des cybermenaces.
  • Une légère augmentation des financements et des effectifs pour étendre le soutien à la liaison dans les secteurs non couverts par la CISA, y compris 8 nouveaux postes de liaison en gestion des risques sectoriels pour les secteurs où la CISA n'est pas l'agence de gestion des risques sectoriels (SRMA).
  • La priorité explicite accordée aux efforts visant à contrer les menaces que représente la République populaire de Chine pour le gouvernement et les infrastructures critiques. Cela passe notamment par le partage d'informations.
• HHS : ASPRLe document de 62 pages justifiant le budget du Congrès pour l'ASPR (Associated Press Review and Recovery) fait état d'une réduction globale d'environ 355 millions de dollars et d'une réaffectation du reste du budget. Le programme de préparation et de rétablissement des soins de santé subit une réduction considérable, passant d'environ 305 millions de dollars à un peu moins de 30 millions de dollars. Cette réduction semble affecter les accords de coopération du Programme de préparation des hôpitaux (HPP), l'accord de coopération du Système régional d'intervention sanitaire en cas de catastrophe (RDHRS), les activités de soins aux traumatisés, les activités et opérations de soutien à la préparation et au rétablissement des soins de santé, l'atténuation et le rétablissement communautaires, ainsi que le programme TRACIE (Technical Resources, Assistance Center, and Information Exchange). Le document précise toutefois que le budget de la cybersécurité et de la protection des infrastructures (CIP) devrait rester inchangé par rapport aux deux exercices précédents.^[V] Le document souligne ensuite les près de 2 000 incidents de cybersécurité que le CIP a traités entre fin 2024 et fin 2025 et vante un nouveau module de sa boîte à outils Risk Identification and Site Criticality (RISC) qui sera publié en 2026, lequel est conforme au NIST CSF 2.0 et aux objectifs de performance en matière de cybersécurité (CPG) du secteur de la santé et de la santé publique.
• HHS : Bureau du secrétaire—Le document de 190 pages justifiant le budget du Bureau du Secrétaire, présenté au Congrès, comprend certaines propositions de réorganisation ministérielle.^[Vi] D'après le document, le Bureau des droits civiques (OCR), le Bureau des audiences et des appels relatifs à Medicare, la Commission d'appel du ministère, le Bureau de la protection de la recherche sur l'humain, le Bureau de la protection de la recherche animale et le Bureau de l'intégrité de la recherche fusionneront au sein du Bureau du secrétaire adjoint aux droits civiques et aux appels (ASCRA). Cette restructuration semble similaire à une proposition de mars dernier qui plaçait certains de ces bureaux sous l'autorité d'un nouveau secrétaire adjoint chargé de l'application de la loi.^[Vii]

  Le document explique ensuite comment l'ASCRA « assurera la conformité légale par le biais de l'application et du jugement dans le secteur de la santé et des services sociaux » et comment « la consolidation proposée vise à rationaliser la surveillance, à améliorer la coordination de l'application et du jugement, à fournir une formation et des conseils sur les autorités légales pertinentes et à renforcer la capacité du HHS à remplir ses obligations légales ».^[Viii]

  La demande budgétaire du président pour l'exercice 27 relative à l'ASCRA s'élève à un peu plus de 241 millions de dollars, soit une augmentation de près de 5 millions de dollars par rapport au montant voté pour l'exercice 26. Ce montant comprend également une estimation de 10,000,000 millions de dollars provenant d'indemnisations civiles, utilisés par le Bureau des droits civiques pour renforcer l'application de la loi HIPAA.^[Ix]

• HHS : FDA—Le document de 91 pages justifiant le budget de la Food and Drug Administration (FDA) auprès du Congrès ne fait aucune référence explicite à la cybersécurité.^[X] Toutefois, le texte comprend une section consacrée aux dispositifs médicaux et à la santé radiologique, qui couvre également le Centre pour les dispositifs médicaux et la santé radiologique (CDRH). Cette section souligne une légère augmentation du budget alloué aux dispositifs médicaux et à la santé radiologique, passant d'un peu plus de 913 millions de dollars (montant voté pour l'exercice 2026) à un peu plus d'un milliard de dollars. La FDA justifie cette augmentation en déclarant qu'elle est « tout aussi déterminée à détecter et à traiter les risques pour la sécurité le plus tôt possible afin de protéger les patients et de garantir que l'agence demeure constamment la première parmi les agences de réglementation mondiales à identifier et à prendre des mesures concernant les signaux de sécurité liés aux dispositifs médicaux ».^[xi]

Action et analyse
**Inclus avec l'adhésion à Health-ISAC**

^[I] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[Iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[Vi] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ix] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[xi] https://www.fda.gov/media/191778/download?attachment

^[xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Ressources et actualités connexes
• Santé-Piratage du système de santé par l'ISAC 5/11/2026
• Guide du RSSI, volume 2 : Vulnérabilité du jeton 0Auth à l’origine de la faille de sécurité chez Salesforce
• Newsletter mensuelle – Mai 2026
• Analyse trimestrielle des menaces – T1 2026
• Ce que l'attaque Stryker révèle sur la sécurité des dispositifs médicaux
• Politiques et garanties pour une utilisation sûre de l'IA
• HSCC dévoile un guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement
• Anthropic dévoile un dieu informatique magique 0-Day
• Le secteur de la santé dans le collimateur : les cybermenaces liées à l'Iran accroissent les risques pour les hôpitaux, les technologies médicales et les chaînes d'approvisionnement des soins.
• Health-ISAC signale des lacunes en matière de cyber-résilience et de réponse aux incidents…