Le programme CaRE vise à accélérer la mise à niveau des systèmes d’information (SI) face à l’état de la menace cyber et à renforcer durablement la résilience des établissements de santé et des établissements sociaux et médico-sociaux. Le plan d’action du programme identifie en ce sens des domaines prioritaires pour mettre en place un système de soutien financier pour aider les établissements à rattraper les retards constatés.
Le premier appel à financement du plan CaRE nommé « Annuaires techniques et exposition sur internet » et lancé le 18 mars (cf. Arrêté du 18 mars relatif au programme de financement) est doté d’une enveloppe de 65 millions d’euros. Cet appel à financement vise au renforcement du niveau de sécurité des établissements de santé en maîtrisant leur exposition sur internet et en consolidant la maîtrise des annuaires techniques.
Les établissements de santé éligibles, qu’ils soient publics ou privés, ont été invités à candidater sur la plateforme dédiée « eCaRE » du 18 mars au 19 avril 2024, date limite fixée pour le dépôt de candidatures.
À la date de la fermeture du guichet, 1207 demandes de candidature ont été déposées ce qui correspond à 84% des établissements éligibles. Parmi ces candidatures, 733 ont été validées par les ARS. Le montant plafond à engager pour les candidats représente 98,8% de l’enveloppe prévisionnelle, soit 64 276 242 millions d’euros.
Les dossiers de candidatures sont répartis de la sorte par type d’établissement :
Nombre de candidatures | Nombre de candidatures / Nombre d'ES éligibles par catégorie | |
GHT | 134 | 100 % |
ES publics hors GHT | 18 | 86 % |
ES privés EBNL | 292 | 71 % |
ES privés lucratifs | 763 | 88 % |
Le domaine « Annuaires techniques et exposition sur internet » se poursuit avec l’instruction des dossiers par les ARS qui prendra fin le 21 mai 2024, date à partir de laquelle les établissements candidats dont le dossier a été validé pourront commencer à déposer les preuves d’atteinte des objectifs du domaine sur la plateforme « eCaRE ».
La réussite de cet appel à financement traduit l’engouement exceptionnel et l’engagement fort des établissements face aux risques cyber et répond à l’ambition du programme d’embarquer le plus grand nombre d’établissements.
Dans le contexte des attaques actuelles (cf. Panorama de la cybermenace 2023 de l’ANSSI), la vigilance cyber s'impose comme une priorité absolue et les établissements prennent conscience de l’effort important et nécessaire qui doit être réalisé pour remédier à leurs vulnérabilités. En s’engageant à répondre aux objectifs du domaine, les établissements démontrent une volonté forte pour pallier leur dette technologique, améliorer le niveau de sécurité de leurs annuaires techniques et réduire leur surface exposée.
Une dynamique à poursuivre
La résilience en cybersécurité nécessite le déploiement massif de nouvelles capacités pérennes au sein des établissements : prévention, détection, réaction, reconstruction. La dynamique enclenchée par ce premier appel à financement se poursuivra avec d’autres domaines, dont certains prioritaires qui ont déjà été identifiés : « Stratégie de continuité et de reprise d’activité » (les travaux de construction se poursuivent depuis leur lancement en janvier 2024), « Poste de travail et détection », « Sécurisation des accès de télémaintenance », etc.