Le Domaine D1 du programme CaRE était ouvert à candidature du 18 mars au 19 avril 2024. Il concerne les audits techniques : annuaire technique et exposition sur internet.
L’Agence du Numérique en santé (ANS), la Délégation ministérielle du Numérique en Santé (DNS) et les Agences Régionales de Santé (ARS) sont chargées de la mise en œuvre du programme CaRE qui vise à soutenir nos établissements sanitaires et médico-sociaux, dans leurs actions de renforcement de sécurité opérationnelle et de résilience face à la cybermenace.
Ce plan d’actions, appelé CaRE, vise à accélérer la mise à niveau des systèmes d’informations hospitaliers face à l’état de la menace et à renforcer durablement la résilience des structures de soins.
Le programme doté de 250 M€ jusqu’en 2025, sur un objectif d’investissement total de 750 M€ d’ici 2027, poursuit le double objectif :
Éviter que les attaques aboutissent ;
Permettre aux établissements de s’en relever le plus rapidement possible.
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet.
Objectif
Le « Domaine 1 » du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le Domaine 1 vise à :
Atteindre un premier niveau de remédiation de l'exposition sur Internet ;
Atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
Se préparer au risque d’une cyberattaque ;
S’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
Prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Qui peut candidater ?
Tous les établissements ayant validé les 2 prérequis liés à la sécurité des systèmes d’information qui figurent dans le programme SUN-ES.
Qui porte la candidature ?
Pour les GHT l’établissement support porte la candidature pour l’ensemble des entités juridiques du groupement. Pour les établissement publics hors GHT et les établissements privés, l’entité juridique porte la candidature pour l’ensemble des entités géographiques.
Calendrier de mise en œuvre du Domaine 1
Date | Description |
---|---|
22 mars 2024 | Date de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1 Date à partir de laquelle les ES éligibles souhaitant bénéficier des financements peuvent démarrer les travaux permettant d'atteindre les objectifs de l'appel à financement décrits à l'annexe 1 de l'arrêté (annexe 1 - Prérequis objectifs et preuves d'atteinte des objectifs du Domaine 1) |
22 mars 2024 | Ouverture du guichet en ligne de dépôt des demandes de financement permettant aux ES éligibles de faire acte de candidature auprès de leur ARS et de déposer les pièces nécessaires |
19 avril 2024 | Fermeture du guichet en ligne de dépôt des demandes de financement |
21 mai 2024 | Fin de l'instruction des candidatures par les ARS |
31 juillet 2024 | Ouverture du portail de dépôt de preuves et de demande des opérations de contrôle |
31 juillet 2024 | Ouverture du guichet de paiement |
TJ0_rect | Date de parution aux JO de l'arrêté ministériel relatif à l'appel à financement du Domaine 1 |
30 juin 2025 | Fermeture du portail de dépôt de preuves et de demande des opérations de contrôle |
31 décembre 2025 | Fermeture du guichet de paiement |
L’objectif du domaine Stratégie de continuité et de Reprise d’activité est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
L'ouverture du domaine se fera courant d'année 2025
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera courant d'année 2025
L'ouverture du domaine se fera courant d'année 2026
Pour plus d'informations sur le programme CaRE, vous pouvez consulter :