Cybersécurité accélération et Résilience des Etablissements (CaRE)

Cybersécurité, une réponse collective, déterminée et coordonnée pour faire face à la menace !

Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire du plan d'action CaRE.

Consultez l'ensemble des actions portées dans le cadre du programme CaRE 

Découvrez les axes du programme CaRE

Gouvernance et résilience

Ressources et mutualisation

Sensibilisation

Sécurité opérationnelle

Découvrez le catalogue des offres cyber

La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles. 

Accédez au catalogue

Dates clés du programme CaRE

21-23 mai 2024

Evénements cyber lors de SantExpo, dont une agora sur le Programme CaRE, ainsi qu'un atelier retour d'expérience sur la démarche PCRA

Consultez le support de l'atelier PCRA

18 mars 2024

Ouverture des deux premiers guichets : “Annuaires techniques et exposition sur internet” et “HospiConnect” du programme CaRE

Consultez le communiqué de presse

18 décembre 2023

Plan d'actions CaRE : nouveaux engagements pour renforcer la cybersécurité des établissements.

Consultez le communiqué de presse

Le risque cyber en quelques chiffres

3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).

+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé​ (CERT Santé).

1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).

Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement. 

En savoir plus

Je m'informe sur les référentiels PGSSI-S

Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Accédez aux référentiels de la PGSSI-S

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

Signalez un incident

Tout savoir sur les modalités de financement

Des financements ponctuels via des appels à financements

Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.

Des financements vers les acteurs nationaux et régionaux

Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.

Des financements annuels pour maintenir le niveau acquis

Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.

En savoir plus sur l'état de la menace cyber en France

Consultez le rapport du CERT Santé
Consultez le panorama de la cybermenace (ANSSI)
Consultez le rapport Enisa Threat Landscape: HEALTH SECTOR (ENISA)

Cadre réglementaire

  • Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
  • Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
  • Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
  • NOTE D’INFORMATION N° DGOS-PF5-2022-268

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

Consultez la FAQ

Comment un établissement peut-il choisir un industriel pour réaliser ses audits pour prouver l'absence de vulnérabilité critique ?

L'établissement est libre de choisir et de contractualiser avec un industriel qui propose une solution respectant le cahier des charges "Audit exposition sur internet". 

Quels sont les outils à utiliser pour l'atteinte des deux sous-objectifs du D1.O1 (à savoir, réaliser régulièrement des audits de tous les AD et atteindre un niveau de sécurisation minimum des AD) ?

Le service ADS mis à disposition par l'ANSSI doit être utilisé pour auditer les AD : https://esante.gouv.fr/Fiche%20de%20pr%C3%A9sentation%20ADS.

Que signifie l'atteinte d'un premier jalon dans les 18 mois pour la convergence des AD d'un GHT ?

Il est attendu une première réalisation concrète au bout de 18 mois avec des premières actions de convergence mises en œuvre.

Quelques exemples de 1ères réalisations concrètes (jalon à 18 mois) : mise en place d'une infrastructure commune pour deux domaines AD, migration de certains services ou utilisateurs vers une nouvelle infrastructure AD commune, création d'une stratégie de gestion des identités et des accès unifiés pour les domaines concernés.

L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.

Chaudron Elodie , Directrice de programme

🔎Pour en savoir plus

👇Revivez les derniers événements Cyber

Nos partenaires