Programme CaRE (2024-2027)

Article

Pour répondre à l’augmentation de la cyber menace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire de la feuille de route du numérique en santé.

Vous avez jusqu'au 31 octobre 2025 pour déposer votre candidature pour le domaine 2 CaRE.

 

Le Domaine D1 du programme CaRE était ouvert à candidature du 18 mars au 19 avril 2024. Il concerne les audits techniques : annuaire technique et exposition sur internet.

L’Agence du Numérique en santé (ANS), la Délégation ministérielle du Numérique en Santé (DNS) et les Agences Régionales de Santé (ARS) sont chargées de la mise en œuvre du programme CaRE qui vise à soutenir nos établissements sanitaires et médico-sociaux, dans leurs actions de renforcement de sécurité opérationnelle et de résilience face à la cybermenace.

Ce plan d’actions, appelé CaRE, vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins.

Le programme doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit le double objectif :

  • Éviter que les attaques aboutissent ;

  • Permettre aux établissements de s’en relever le plus rapidement possible.

Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.

Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet.

Objectif

Le « Domaine 1 » du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.

Le Domaine 1 vise à :

  • Atteindre un premier niveau de remédiation de l'exposition sur Internet ;

  • Atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;

  • Se préparer au risque d’une cyberattaque ;

  • S’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;

  • Prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).

Qui peut candidater ? 

Tous les établissements ayant validé les 2 prérequis liés à la sécurité des systèmes d’information qui figurent dans le programme SUN-ES.

Qui porte la candidature ? 

Pour les GHT l’établissement support porte la candidature pour l’ensemble des entités juridiques du groupement. Pour les établissement publics hors GHT et les établissements privés, l’entité juridique porte la candidature pour l’ensemble des entités géographiques. 

Calendrier de mise en œuvre du Domaine 1

DateDescription
22 mars 2024Date de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1
Date à partir de laquelle les ES éligibles souhaitant bénéficier des financements peuvent démarrer les travaux permettant d'atteindre les objectifs de l'appel à financement décrits à l'annexe 1 de l'arrêté (annexe 1 - Prérequis objectifs et preuves d'atteinte des objectifs du Domaine 1)
22 mars 2024Ouverture du guichet en ligne de dépôt des demandes de financement permettant aux ES éligibles de faire acte de candidature auprès de leur ARS et de déposer les pièces nécessaires
19 avril 2024Fermeture du guichet en ligne de dépôt des demandes de financement
21 mai 2024Fin de l'instruction des candidatures par les ARS
31 juillet 2024Ouverture du portail de dépôt de preuves et de demande des opérations de contrôle
31 juillet 2024Ouverture du guichet de paiement
TJ0_rectDate de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1
30 juin 2025Fermeture du portail de dépôt de preuves et de demande des opérations de contrôle
31 décembre 2025Fermeture du guichet de paiement

Ressources à disposition

L’arrêté du 3 juillet 2025 marque le lancement du Domaine 2 « Stratégie de continuité et de Reprise d’activité ». Son objectif est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.

Il s’adresse aux établissements sanitaires publics et privés. Un dispositif complémentaire pour le secteur médico-social est prévu d’ici fin 2025.

Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des établissements de santé (ES), mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.

Comment candidater ? 

Pour candidater vous devez déposer un dossier de candidature sur la plateforme Convergence-eCaRE, dont le guichet est ouvert du 2 septembre au 31 octobre 2025. 

Il est essentiel de remplir les conditions suivantes avant de pouvoir déposer votre candidature :

  • Disposer d’une Politique de Sécurité des Systèmes d’Information (PSSI) formalisée et validée / revue dans les 36 mois précédant la date de publication de l’arrêté ;

  • Décrire l’organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d’Activité pour assurer la construction et son maintien dans le temps.

Qui porte la candidature ? 

Pour les GHT, l’établissement support du GHT candidate pour l’ensemble des EJ du GHT (et donc les EG sanitaires et médico-sociales), dans le respect de la convention constitutive du GHT présentant ses compétences et ses instances décisionnelles, ou le cas échéant, avec une autorisation octroyée lors d’une instance décisionnelle.

Pour les établissements privés(lucratifs et à but non lucratif), la demande de candidature au financement doit être portée par l’entité juridique pour l’ensemble de ses établissements géographiques.

Calendrier de mise en œuvre du Domaine 2

Date

Description

3 juillet 2025

  • Arrêté relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Stratégie de continuité et de reprise d’activité »

  • Date à partir de laquelle les établissements éligibles peuvent engager des travaux permettant d’atteindre les objectifs de l’appel à financement

2 septembre 2025

  • Ouverture du guichet des candidatures permettant aux ES disposant des prérequis de candidater sur la plateforme Convergence – eCaRE en utilisant le compte de la personne étant habilité à représenter l’établissement candidat

 31 octobre 2025

  • Fermeture du guichet des candidatures

16 janvier 2026

  • Ouverture du portail de déclaration d’atteinte des objectifs

16 février 2026

  • Ouverture du guichet de paiement

18 novembre 2026

  • Fermeture du portail de déclaration d’atteinte des objectifs

30 juin 2027

  • Fermeture guichet de paiement

Modalités d’atteinte des Objectifs

Les objectifs du Domaine 2 relatifs au programme CaRE portent sur deux axes principaux.

  1. Continuité et reprise d’activité : Renforcer la capacité des établissements à anticiper, s’organiser et réagir efficacement en cas de cyberattaque ;
  2. Sauvegarde sécurisée :  Mettre en place des solutions de sauvegarde protégées contre toute contamination et assurant la restauration des applications critiques.


La déclaration d’atteinte des objectifs peut s’effectuer entre le 16 janvier 2026 et le 18 novembre 2026.

Financements du domaine pour l’atteinte d’objectifs

Le montant du financement alloué aux candidats sera calculé sur la base des coûts réellement engagés par l’établissement, à compter de la date de publication de l’arrêté au Journal Officiel, soit le 16 juillet 2025, jusqu’à la déclaration d’atteinte des objectifs.

Ce financement sera accordé dans la limite du montant plafond prévu, et ne pourra excéder les dépenses effectivement engagées sur la période concernée.

Ressources à disposition 

L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.

Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.

L'ouverture du domaine se fera courant d'année 2025

L'ouverture du domaine se fera courant d'année 2026.

Aller plus loin

Contact

Pour toute question relative au programme CaRE, vous pouvez contacter le référent ARS par mail : ars-normandie-esante@ars.sante.fr 

Voir Aussi

Cybersécurité