Cybersécurité accélération et Résilience des Etablissements (CaRE)

Cybersécurité, une réponse collective, déterminée et coordonnée pour faire face à la menace !

Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire du plan d'action CaRE.

Consultez l'ensemble des actions portées dans le cadre du programme CaRE 

Découvrez les axes du programme CaRE

Gouvernance et résilience

Ressources et mutualisation

Sensibilisation

Sécurité opérationnelle

Découvrez le catalogue des offres cyber

La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles. 

Accédez au catalogue

Dates clés du programme CaRE

21-23 mai 2024

Evénements cyber lors de SantExpo, dont une agora sur le Programme CaRE, ainsi qu'un atelier retour d'expérience sur la démarche PCRA

Consultez le support de l'atelier PCRA

18 mars 2024

Ouverture des deux premiers guichets : “Annuaires techniques et exposition sur internet” et “HospiConnect” du programme CaRE

Consultez le communiqué de presse

18 décembre 2023

Plan d'actions CaRE : nouveaux engagements pour renforcer la cybersécurité des établissements.

Consultez le communiqué de presse

Le risque cyber en quelques chiffres

3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).

+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé​ (CERT Santé).

1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).

Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement. 

En savoir plus

Je m'informe sur les référentiels PGSSI-S

Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Accédez aux référentiels de la PGSSI-S

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

Signalez un incident

Tout savoir sur les modalités de financement

Des financements ponctuels via des appels à financements

Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.

Des financements vers les acteurs nationaux et régionaux

Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.

Des financements annuels pour maintenir le niveau acquis

Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.

En savoir plus sur l'état de la menace cyber en France

Consultez le rapport du CERT Santé
Consultez le panorama de la cybermenace (ANSSI)
Consultez le rapport Enisa Threat Landscape: HEALTH SECTOR (ENISA)

Cadre réglementaire

  • Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
  • Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
  • Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
  • NOTE D’INFORMATION N° DGOS-PF5-2022-268

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

Consultez la FAQ

Les exercices de crise doivent-ils encore être réalisés annuellement ?

Les exercices de crise sont effectivement à inscrire dans une démarche annuelle (cf. instruction cyber établissements de santé publiée au Bulletin Officiel du 17 février 2025) : https://sante.gouv.fr/fichiers/bo/2025/2025.3.sante.pdf#page=5).

Concernant le Domaine "Annuaires techniques et exposition sur internet" et l'objectif D1.O3, un premier exercice de crise cyber doit être réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) entre le 1er janvier 2023 et la date de dépôt de la déclaration d’atteinte des objectifs par l’établissement sur le guichet dédié. ​

Quelle est la période de la phase opérationnelle du domaine "Annuaires techniques et exposition sur internet" ?

L'arrêté du 22 janvier 2025, modifiant l'arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction - "Annuaires techniques et exposition sur internet" , a été publié au Journal officiel le 30 janvier 2025 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000051058973).

Cet arrêté rectificatif a redéfini la phase opérationnelle. Le démarrage de la phase opérationnelle doit être compris entre la date de publication de l’arrêté du Domaine "Annuaires techniques et exposition sur internet" (22 mars 2024) et le 20 septembre 2024. Cette date du 20 septembre a été décidée en concertation avec l’ANSSI pour ne pas impacter les établissements de santé par la non mise à disposition du portail club SSI cet été.

La phase opérationnelle s’achève au dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié, soit le 30 juin 2025 au plus tard​.

Existe-t-il une procédure alternative pour un établissement candidat qui ne souhaite pas envoyer directement la trame de l'état financier et le récapitulatif de paie au référent CaRE pour dépôt sur la plateforme eCaRE ?

Si l'établissement candidat ne souhaite pas envoyer la trame de l'état financier et le récapitulatif de paie directement au référent CaRE pour dépôt sur la plateforme eCaRE, il est proposé que le service Ressources Humaines (RH) ou la Direction Administrative et Financière (DAF) de l'établissement compresse le dossier contenant ces pièces justificatives avec un mot de passe. 

- Le dossier compressé (zip) sera déposé dans Convergence sans être visible par le référent CaRE. 
- Le mot de passe sera envoyé directement à la DAF de l'ANS par mail à l'adresse suivante : care.servicefinances@esante.gouv.fr 
- Dans ce mail, l'établissement candidat doit également préciser le numéro NRU de sa candidature, numéro disponible au niveau du tableau de bord sur la plateforme eCaRE.

L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.

Chaudron Elodie , Directrice de programme

🔎Pour en savoir plus

👇Revivez les derniers événements Cyber

Nos partenaires