Le Domaine D1 du programme CaRE était ouvert à candidature du 18 mars au 19 avril 2024. Il concerne les audits techniques : annuaire technique et exposition sur internet.
L’Agence du Numérique en santé (ANS), la Délégation ministérielle du Numérique en Santé (DNS) et les Agences Régionales de Santé (ARS) sont chargées de la mise en œuvre du programme CaRE qui vise à soutenir nos établissements sanitaires et médico-sociaux, dans leurs actions de renforcement de sécurité opérationnelle et de résilience face à la cybermenace.
Ce plan d’actions, appelé CaRE, vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins.
Le programme doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit le double objectif :
Éviter que les attaques aboutissent ;
Permettre aux établissements de s’en relever le plus rapidement possible.
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet.
Objectif
Le « Domaine 1 » du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le Domaine 1 vise à :
Atteindre un premier niveau de remédiation de l'exposition sur Internet ;
Atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
Se préparer au risque d’une cyberattaque ;
S’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
Prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Qui peut candidater ?
Tous les établissements ayant validé les 2 prérequis liés à la sécurité des systèmes d’information qui figurent dans le programme SUN-ES.
Qui porte la candidature ?
Pour les GHT l’établissement support porte la candidature pour l’ensemble des entités juridiques du groupement. Pour les établissement publics hors GHT et les établissements privés, l’entité juridique porte la candidature pour l’ensemble des entités géographiques.
Calendrier de mise en œuvre du Domaine 1
| Date | Description |
|---|---|
| 22 mars 2024 | Date de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1 Date à partir de laquelle les ES éligibles souhaitant bénéficier des financements peuvent démarrer les travaux permettant d'atteindre les objectifs de l'appel à financement décrits à l'annexe 1 de l'arrêté (annexe 1 - Prérequis objectifs et preuves d'atteinte des objectifs du Domaine 1) |
| 22 mars 2024 | Ouverture du guichet en ligne de dépôt des demandes de financement permettant aux ES éligibles de faire acte de candidature auprès de leur ARS et de déposer les pièces nécessaires |
| 19 avril 2024 | Fermeture du guichet en ligne de dépôt des demandes de financement |
| 21 mai 2024 | Fin de l'instruction des candidatures par les ARS |
| 31 juillet 2024 | Ouverture du portail de dépôt de preuves et de demande des opérations de contrôle |
| 31 juillet 2024 | Ouverture du guichet de paiement |
| TJ0_rect | Date de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1 |
| 30 juin 2025 | Fermeture du portail de dépôt de preuves et de demande des opérations de contrôle |
| 31 décembre 2025 | Fermeture du guichet de paiement |
Ressources à disposition
L’arrêté du 3 juillet 2025 marque le lancement du Domaine 2 « Stratégie de continuité et de Reprise d’activité ». Son objectif est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Il s’adresse aux établissements sanitaires publics et privés. Un dispositif complémentaire pour le secteur médico-social est prévu d’ici fin 2025.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des établissements de santé (ES), mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
Comment candidater ?
Pour candidater vous devez déposer un dossier de candidature sur la plateforme Convergence-eCaRE, dont le guichet est ouvert du 2 septembre au 31 octobre 2025.
Il est essentiel de remplir les conditions suivantes avant de pouvoir déposer votre candidature :
Disposer d’une Politique de Sécurité des Systèmes d’Information (PSSI) formalisée et validée / revue dans les 36 mois précédant la date de publication de l’arrêté ;
Décrire l’organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d’Activité pour assurer la construction et son maintien dans le temps.
Qui porte la candidature ?
Pour les GHT, l’établissement support du GHT candidate pour l’ensemble des EJ du GHT (et donc les EG sanitaires et médico-sociales), dans le respect de la convention constitutive du GHT présentant ses compétences et ses instances décisionnelles, ou le cas échéant, avec une autorisation octroyée lors d’une instance décisionnelle.
Pour les établissements privés(lucratifs et à but non lucratif), la demande de candidature au financement doit être portée par l’entité juridique pour l’ensemble de ses établissements géographiques.
Calendrier de mise en œuvre du Domaine 2
Date | Description |
|---|---|
| 3 juillet 2025 |
|
| 2 septembre 2025 |
|
| 31 octobre 2025 |
|
| 16 janvier 2026 |
|
| 16 février 2026 |
|
| 18 novembre 2026 |
|
| 30 juin 2027 |
|
Modalités d’atteinte des Objectifs
Les objectifs du Domaine 2 relatifs au programme CaRE portent sur deux axes principaux.
- Continuité et reprise d’activité : Renforcer la capacité des établissements à anticiper, s’organiser et réagir efficacement en cas de cyberattaque ;
- Sauvegarde sécurisée : Mettre en place des solutions de sauvegarde protégées contre toute contamination et assurant la restauration des applications critiques.
La déclaration d’atteinte des objectifs peut s’effectuer entre le 16 janvier 2026 et le 18 novembre 2026.
Financements du domaine pour l’atteinte d’objectifs
Le montant du financement alloué aux candidats sera calculé sur la base des coûts réellement engagés par l’établissement, à compter de la date de publication de l’arrêté au Journal Officiel, soit le 16 juillet 2025, jusqu’à la déclaration d’atteinte des objectifs.
Ce financement sera accordé dans la limite du montant plafond prévu, et ne pourra excéder les dépenses effectivement engagées sur la période concernée.
Ressources à disposition
Ce dispositif finance un projet d’établissement à la fois technique et organisationnel, porté sous la bannière unifiée « HospiConnect », comprenant :
Financements CaRE pour l’acquisition des équipements nécessaires à la sécurisation de l’identification électronique (MIE, lecteurs,…), afin de sécuriser la gestion des identités et des accès dans le SIH ;
Financements HOP’EN 2 pour conduire les projets de transformation liés à la gestion des identités et des accès, à la collecte du consentement des patients et à l’adaptation des pratiques de prises en charge, afin de permettre la consultation de mon espace santé depuis le DPI.
Le périmètre HospiConnect du volet “Matériel” (CaRE) vise à aider les établissements à s’équiper en moyens d’identification électroniques conformes aux obligations des établissements, afin de permettre l’accès aux services numériques en tout sécurité et confidentialité. Cela consiste notamment à : équiper les professionnels (sécurisation des identités et accès dans le SIH, 2FA) et équiper les postes de travail (matériel pour l’IE, cartes, lecteurs).
Méthode de financement (HospiConnect/CaRE)
Les effectifs de l’établissement sont calculés à partir des données de la Statistique annuelle des établissements de santé (SAE).
Afin de tenir compte des aléas de remplissage, la valeur retenue pour chaque entité juridique est la somme des effectifs de ses entités géographiques, de 2024 quand la valeur est renseignée, à défaut de 2023, à défaut de 2022. En l’absence de valeur sur ces trois années, l’effectif est considéré nul.
Les effectifs considérés sont les effectifs salariés et les effectifs libéraux totaux déclarés dans la SAE.
Les financements attribués dans le cadre du présent dispositif sont plafonnés et calculés en fonction de l’effectif de la structure, selon les modalités précisées ci-dessous. Un tarif de base par agent est fixé à 20 €. Le montant plafond du financement est calculé en multipliant les effectifs de chaque entité juridique membre de la structure bénéficiaire par le tarif agent, puis en sommant les montants obtenus pour obtenir le plafond maximal alloué à la structure bénéficiaire.
Ce plafond sera défalqué d’un montant correspondant aux cartes commandées par le candidat à l’ANS sur la période, à hauteur de 12 € par carte. Le montant des financements qui sera alloué aux structures bénéficiaires sera calculé à partir de la déclaration des coûts réellement engagés à partir de la date de publication au Journal officiel du présent arrêté jusqu’à la déclaration d’atteinte des 29 janvier 2026. Le détail des dépenses engagées doit être communiqué lors du dépôt de la demande de paiement en utilisant la trame de bilan financier mis à disposition sur le site de l’ANS.
Seuls les coûts engagés ainsi déclarés donneront lieu à un financement, lequel ne pourra excéder le montant maximal applicable à l’établissement, tel qu’il est défini ci-dessus.
L’enveloppe CARE HospiConnect est consommable en une ou plusieurs fois sur la durée du programme.
Prérequis (HospiConnect/CaRE)
Ces prérequis sont nécessaires pour accéder à l’étape de dépôt des factures dans le cadre d’une demande de remboursement. Ils correspondent au niveau minimal attendu :
Dépôt de la note de cadrage ;
Complétude et/ou mise à jour des indicateurs de maturité (chaque année).
Identifiant | Libellé | Cible | Eléments à fournir |
|---|---|---|---|
HC.O1 |
|
|
|
Calendrier de mise en œuvre du dispositif HospiConnect/CaRE
Date/Jalon | Description |
|---|---|
T0 : date de publication de l'arrêté au journal officiel | Date engageant le lancement de la phase opérationnelle du dispositif. |
⚠️ 1er juin 2026⚠️ | Date limite de signature de la convention liant le candidat - dont la candidature est validée - avec l'Agence du numérique en santé |
Mi-juin 2026 - Mi-juillet 2026 | Dépôt de preuves pour les cibles à atteindre en 2026 par les établissements, selon l'annexe 1 et le guide des objectifs. |
Mi-juin 2026 - 15 novembre 2026 | Instruction des dossiers 2026. |
Mi-juin 2027 - Mi-juillet 2027 | Dépôt de preuves pour les cibles à atteindre en 2027 par les établissements, selon l'annexe 1 et le guide des objectifs. |
Mi-juin 2027 - 15 novembre 2027 | Instruction des dossiers 2027. |
Mi-juin 2028 - Mi-juillet 2028 | Dépôt de preuves pour les cibles à atteindre en 2028 par les établissements, selon l'annexe 1 et le guide des objectifs. La clôture du guichet de dépôt des preuves constituent la fin de la période opérationnelle du dispositif. |
Mi-juin 2028 - 15 novembre 2028 | Instruction des dossiers 2028. |
Ressources à disposition
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera courant d'année 2026
L'ouverture du domaine se fera courant d'année 2026.
