Cybersécurité accélération et Résilience des Etablissements (CaRE)

Cybersécurité, une réponse collective, déterminée et coordonnée pour faire face à la menace !

Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire du plan d'action CaRE.

Consultez l'ensemble des actions portées dans le cadre du programme CaRE 

Découvrez le catalogue des offres cyber

La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles. 

Dates clés du programme CaRE

30 juin 2026

Fermeture du guichet de paiement D1

4 juin 2026

Fermeture du guichet de candidature pour le POC de l'AAP médico-social

11 mai 2026

Ouverture du guichet de candidature pour le POC de l'AAP médico-social

30 mars 2026

Publication du cahier des charges relatif au POC de l’AAP médico-social

20 février 2026

Fermeture du guichet de candidature HospiConnect

13 février 2026

Ouverture du guichet de candidature D1 bis

20 janvier 2026

Ouverture du guichet de candidature HospiConnect

16 janvier 2026

Ouverture du guichet de déclaration d'atteinte des objectifs pour l'appel à financement D2

2 septembre 2025

Ouverture de la phase de candidature au troisième appel à financement D2

20-22 mai 2025

Evénements cyber dont une Agora de point d'étape sur le Programme CaRE et des ateliers de retour d'expérience des lauréats Hospiconnect

21-23 mai 2024

Evénements cyber lors de SantExpo, dont une agora sur le Programme CaRE, ainsi qu'un atelier retour d'expérience sur la démarche PCRA

18 mars 2024

Ouverture des deux premiers guichets : “Annuaires techniques et exposition sur internet” et “HospiConnect” du programme CaRE

18 décembre 2023

Plan d'actions CaRE : nouveaux engagements pour renforcer la cybersécurité des établissements.

Le risque cyber en quelques chiffres

3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).

+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé​ (CERT Santé).

1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).

Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement. 

Je m'informe sur les référentiels PGSSI-S

Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

Tout savoir sur les modalités de financement

Des financements ponctuels via des appels à financements

Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.

Des financements vers les acteurs nationaux et régionaux

Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.

Des financements annuels pour maintenir le niveau acquis

Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.

Cadre réglementaire

  • Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
  • Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
  • Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
  • NOTE D’INFORMATION N° DGOS-PF5-2022-268
  • INSTRUCTION N° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

[ Date de mise à jour : 09 juillet 2026 ]

Les tests relatifs au PCA sont spécifiques et visent à mettre en pratique les processus opérationnelles de continuité et de reprise d'activité au niveau des services. L’obligation de réalisation d’un exercice de crise cyber ne peut donc pas être remplie par la réalisation d’un exercice de terrain du PCA. 
La seule réalisation d'un exercice de crise cyber ne permet donc pas la validation de l'objectif D2.O1.D : le candidat doit simuler un risque d'indisponibilité au sein des services, et activer les processus de continuité d'activité. Le candidat peut en revanche mutualiser l’exercice de crise cyber et le test PCRA, dès lors que l’exercice couvre explicitement les attendus propres à chacun de ces dispositifs. 
Par ailleurs, la validation de l'objectif D2.O1.D repose sur (i) la formalisation d'un retour d'expérience suite à l'exercice incluant un plan d'amélioration du PCA, et (ii) la soumission d'un planning de réalisation des tests sur l'ensemble des activités critiques. 
Des kits d’exercices de crise cyber prêts à l’emploi sont disponibles sur le site de l’ANS au lien suivant :
https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-1
Il est en revanche possible de réaliser simultanément un exercice de cybercrise (dans le format connu, et notamment exigé au titre du Domaine 1) et un exercice de continuité d'activité au sein des services. 

 

 

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 09 juillet 2026 ]

Le candidat doit réaliser un BIA et un PCRA (en réponse à l’objectif D2.O1.C) sur chacun des périmètres a minima (i.e. un service de soin, un plateau technique, le processus administratif le plus critique) couvrant au moins 66% de son activité combinée (analysée à la maille des structures juridiques pour les candidats GHT, et de la maille des structures géographiques pour les autres candidats). 
Il est à noter que les entités considérées par le candidat pour la réalisation du BIA / PCRA peuvent différer selon les périmètres. Les activités considérées pour chacun des périmètres peuvent être différentes d’un établissement à l’autre (par exemple, il est possible au titre du BIA/PCRA sur un service de soin de considérer (i) le service d’oncologie sur une entité, et (ii) le service de cardiologie pour une autre entité). 

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 09 juillet 2026 ]

L’ensemble des dépenses réalisées pendant la phase opérationnelle pour contribuer à l’atteinte des objectifs du Domaine 2 sont éligibles à un subventionnement – y compris les coûts de formation À titre d’exemple, le recours à la prestation externe, l’acquisition d’un SMCA ou encore la mise en œuvre d’un nouveau système de sauvegarde sécurisée sont éligibles – étant entendu que cette liste n’est pas exhaustive. Il est à noter que l’ensemble des dépenses réalisées durant la phase opérationnelle concourants à l'élaboration du PCRA seront éligibles, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs qui ne constitue pas une limite. 
En ce qui concerne les objectifs visant à « s’inscrire dans une démarche », les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l’AAF domaine 2. 

Les coûts associés à la mobilisation des ressources humaines du candidat sont également éligibles. Néanmoins, il est à souligner que ces coûts doivent être explicitement justifiés au regard des activités du programme. Aussi, nous recommandons aux établissements de favoriser les dépenses associées à des travaux de prestation intellectuelle, d’acquisition de solutions informatiques, ou des coûts RH associés à la mobilisation de personnels disposant d’une lettre de mission dans le cadre du Domaine 2.  

Pour plus de précisions, les candidats sont invités à consulter le guide des dépenses éligibles mis à disposition par l’Agence du Numérique en Santé : 
https://esante.gouv.fr/sites/default/files/media/document/Guide des de%CC%81penses e%CC%81ligibles domaine 2_v1.0_0.pdf

En complément, il est rappelé que les candidats devront renseigner, signer et soumettre la trame des éléments financiers également mise à disposition sur le site de l’ANS : 
https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fesante.gouv.fr%2Fsites%2Fdefault%2Ffiles%2Fmedia_entity%2Fdocuments%2F20260128---trame-financiere-v1.0.xlsx&wdOrigin=BROWSELINK

Cette réponse vous a-t-elle été utile ?

Le numérique transforme la santé, mais il ne peut le faire sans sécurité.
Le programme CaRE offre un cadre opérationnel et financier pour accompagner les établissements dans la mise en œuvre de leur stratégie de cybersécurité, en cohérence avec les exigences réglementaires et les enjeux de résilience.
Ensemble, construisons un écosystème de santé plus sûr et plus résilient !

Garnier Steven , Directeur de domaine Cybersécurité

Nos partenaires