
Le guichet de déclaration d’atteinte des objectifs du premier appel à financement du plan CaRE a fermé le 30 juin 2025. Lancé le 18 mars 2024, cet appel à financement, intitulé « Annuaires techniques et exposition sur Internet », est doté d’une enveloppe de 65 millions d’euros. Il vise à renforcer la sécurité des établissements de santé, en réduisant leur exposition sur Internet et en améliorant la gestion de leurs annuaires techniques.
Les 1 182 établissements candidats devaient déclarer l’atteinte des objectifs fixés dans ce domaine avant cette date pour pouvoir bénéficier des subventions.
Une mobilisation forte des établissements
-
À la clôture du guichet, plus de 1 000 candidats ont déclaré avoir atteint les objectifs fixés, soit près de 90 % des candidatures validées. Cela représente un montant d’engagement d’environ 58 millions d’euros, sur les 65 millions prévus.
-
Les dossiers déposés sont répartis de la sorte par type d’établissement :
Nombre de dossiers déposés/ Nombre de candidatures validées | |
GHT | 93% |
ES publics hors GHT | 94% |
ES privés EBNL | 83% |
ES privés lucratifs | 90% |
Une instruction en cours jusqu’à l’automne
La phase d’instruction des dossiers est désormais en cours, menée séquentiellement par les ARS et l’ANS. Elle s’achèvera :
-
le 30 septembre 2025 pour les ARS ;
-
et le 31 décembre 2025 pour l’ANS.
16 dossiers ont déjà été validés, un chiffre qui va progresser dans les prochains jours au gré des instructions des dossiers.
Un engagement concret face aux risques cyber
En répondant aux objectifs du domaine, les établissements de santé démontrent une volonté forte de combler leur dette technologique, de renforcer la sécurité de leurs systèmes et de réduire leur exposition aux cybermenaces.
Pendant la phase opérationnelle :
-
Plus de 7 000 audits de la surface d’exposition sur internet ont été réalisés par les candidats. Ces audits ont été menés par les industriels en complément du service SILENE délivré par l’ANSSI.
-
En octobre 2024, 40% des audits réalisés mensuellement par les industriels identifiaient au moins une vulnérabilité critique. À l'issue de la phase opérationnelle, ce taux est de seulement 0,69%.
Les candidats ont réalisé également des audits de sécurité des annuaires Active Directory afin de détecter les vulnérabilités et mettre en place des mesures correctives pour atteindre un niveau de sécurité conforme aux objectifs de ce premier domaine. La part de ces audits atteignant un niveau supérieur ou égal à 2 suit une trajectoire d’amélioration similaire à celle observée sur les audits de la surface d’exposition.
La forte mobilisation observée illustre un engagement concret et collectif pour renforcer la résilience du système de santé face aux risques numériques. Cette dynamique se traduit notamment par une baisse du nombre d’incidents majeurs, comme le souligne le rapport 2024 de l’Observatoire des signalements d’incidents de SSI en santé publié par le CERT Santé le 3 juin 2025. L’un des facteurs explicatifs pourrait être la réalisation des remédiations à la suite des audits dans le cadre du domaine concerné.
La dynamique amorcée se prolonge dans d'autres domaines, dont certains ont déjà été identifiés comme prioritaires : HospiConnect, la « Stratégie de continuité et de reprise d’activité », dont le lancement est imminent, et la « Sécurisation des accès distants », en cours de co-construction avec l’écosystème.