Cybersécurité accélération et Résilience des Etablissements (CaRE)

Cybersécurité, une réponse collective, déterminée et coordonnée pour faire face à la menace !

Pour répondre à l’augmentation de la cybermenace, la puissance publique réagit et mobilise des financements pour rattraper et pérenniser le niveau cyber des établissements avec le programme CaRE (Cybersécurité accélération et Résilience des Etablissements), objectif prioritaire du plan d'action CaRE.

Consultez l'ensemble des actions portées dans le cadre du programme CaRE 

Découvrez les axes du programme CaRE

Gouvernances et Résilience

Ressources et mutualisation

Sensibilisation

Sécurité opérationnelle

Découvrez le catalogue des offres cyber

La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles. 

Accédez au catalogue

Dates clés du programme CaRE

21-23 mai 2024

Evénements cyber lors de SantExpo, dont une agora sur le Programme CaRE, ainsi qu'un atelier retour d'expérience sur la démarche PCRA

Consultez le support de l'atelier PCRA

18 mars 2024

Ouverture des deux premiers guichets : “Annuaires techniques et exposition sur internet” et “HospiConnect” du programme CaRE

Consultez le communiqué de presse

18 décembre 2023

Plan d'actions CaRE : nouveaux engagements pour renforcer la cybersécurité des établissements.

Consultez le communiqué de presse

Le risque cyber en quelques chiffres

3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).

+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé​ (CERT Santé).

1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).

Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement

Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement. 

En savoir plus

Je m'informe sur les référentiels PGSSI-S

Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Accédez aux référentiels de la PGSSI-S

Je déclare un incident

Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.

Signalez un incident

Tout savoir sur les modalités de financement

Des financements ponctuels via des appels à financements

Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.

Des financements vers les acteurs nationaux et régionaux

Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.

Des financements annuels pour maintenir le niveau acquis

Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.

En savoir plus sur l'état de la menace cyber en France

Consultez le rapport 2024 du CERT Santé
Consultez le panorama de la cybermenace (ANSSI)
Consultez le rapport Enisa Threat Landscape: HEALTH SECTOR (ENISA)
Consultez le rapport 2023 du CERT Santé

Cadre réglementaire

  • Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
  • Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
  • Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
  • NOTE D’INFORMATION N° DGOS-PF5-2022-268
  • INSTRUCTION N° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

Consultez la FAQ

Comment gérer l'accès aux services numériques sensibles pour les professionnels qui n'ont aujourd'hui pas de RPPS ?

L'offre de service d'identification électronique de l'Agence du Numérique en Santé (ANS) évolue. En effet, un service d'enregistrement national pour l'ensemble des professionnels utilisateurs du système d'information de l'établissement va être proposé. L'enregistrement national du professionnel sera ainsi un prérequis pour l'obtention d'un moyen d'identification électronique délivrée par l'ANS. Chaque identité numérique enregistrée dans ce répertoire national d'identité aura accès à un e-CPS. Selon la contractualisation entre la structure d'exercice et l'ANS, une carte physique pourra être délivrée au professionnel.

Pour l'accès aux services numériques sensibles externes (nationaux, régionaux), l'ouverture de l'enregistrement des professionnels à rôle du secteur sanitaire sera disponible au terme de la phase d'expérimentation en cours via l'appel à projet alpha CaRE-HospiConnect.

Est-ce que le contrôle en face à face d'une pièce d'identité est exigé lors de la délivrance du MIE à l'utilisateur ?

Le face à face, comme alternative à l’utilisation d’un MIE conforme lors d’une procédure à distance (ex : France Connect+) est requis pour la délivrance ou l’activation du MIE, mais pas nécessairement pour la création de l'identité numérique. A cette étape de la création de l'identité numérique dans le répertoire local, il n'est donc pas obligatoire qu'il y ait un face à face. 

C'est au moment de la remise ou de l’activation du MIE qu'il faut s'assurer que les codes secrets sont remis à la personne qui correspond à cette identité (ou que l’on active localement ce MIE dans le cas d’un MIE national). Dans une cible de délivrance/activation du MIE sectoriel e-santé à partir d'un MIE substantiel (FranceConnect+), le MIE sectoriel serait lui-même de niveau de garantie substantiel et la vérification d'identité est induite.

L'obligation de double facteur d'authentification pour l'accès aux données de santé est-elle toujours applicable au 1er janvier 2026 ?

Oui, l'obligation est toujours applicable au 1er janvier 2026. Des travaux de révisions du référentiel d'identification électronique (RIE) PGSSI-S sont actuellement en cours (CNIL et ANSSI). Pour en savoir plus, nous vous invitons à consulter le replay du webinaire du 20/06/2025 qui traite de la sécurisation de la chaîne d'identification électronique des professionnels avec un retour d'expérience des lauréats d'HospiConnect. 

 

L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.

Chaudron Elodie , Directrice de programme

🗓️ A vos agendas !

🔎Pour en savoir plus

👇Revivez les derniers événements Cyber

Nos partenaires