L'amélioration de la résilience des établissements en cas d’incident cyber requiert une sensibilisation de tous les acteurs à la cybersécurité et à l’hygiène informatique, ainsi que le déploiement massif de nouvelles capacités cyber au sein des établissements.
Découvrez les axes du programme CaRE
Découvrez le catalogue des offres cyber
La construction de ce catalogue répond à un besoin de l'écosystème. Il a pour objectif de permettre aux établissements de santé et aux établissements médico-sociaux d'identifier les différentes offres cyber qui leur sont accessibles.

Dates clés du programme CaRE
Le risque cyber en quelques chiffres
3 ème secteur le plus touché. Les établissements publics de santé représentent 10% des attaques par rançongiciel (ANSSI).
+ 10 % d’attaques par rançongiciel en 2023 visant le secteur de la santé (CERT Santé).
1173 déclarations d’incidents en 2023 et 2022 (CERT Santé).
Découvrez comment l'ANS vous accompagne

J'ai besoin d'un accompagnement pour mon établissement
Le CERT Santé est un service de réponse à incident 24h/24 et 7j/7. Il accompagne les établissements de santé et aux centres de radiothérapie face à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l’établissement à mettre en place un mode dégradé de fonctionnement.

Je m'informe sur les référentiels PGSSI-S
Le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) offre le cadre de référence nécessaire à la mise en œuvre des règles de sécurité en matière de e-santé.

Je déclare un incident
Si vous êtes confronté à un incident de cybersécurité, vous pouvez nous contacter au 09 72 43 91 25 en cas d'urgence ou faire une déclaration au lien ci-dessous.
Tout savoir sur les modalités de financement
Des financements ponctuels via des appels à financements
Pour investir et transformer les établissements sur des thématiques prioritaires, en engageant une synergie collective.
Des financements vers les acteurs nationaux et régionaux
Pour développer et renforcer l'offre de service nationale et régionale, de façon à accompagner un déploiement massif au sein d'établissements de santé.
Des financements annuels pour maintenir le niveau acquis
Pour l'atteinte d'objectifs considérés comme le "Socle Cyber" et faciliter l'engagement de dépenses pluriannuelles.
En savoir plus sur l'état de la menace cyber en France
Cadre réglementaire
- Instruction DNS 2022 247 - Priorités et objectifs 2022-2023 pour le DPL du numérique en santé dans les territoires
- Instruction N° 2022-135 du 09-12-2022- Obligation de réaliser des exercices de crise cyber dans les ES et à leur financement
- Instruction N° SHFDS-FSSI-2023-15 du 30-01-23 relative à l’obligation de réaliser des exercices de gestion de crise et à leur financement
- NOTE D’INFORMATION N° DGOS-PF5-2022-268
- INSTRUCTION N° DNS/2025/12 du 22 janvier 2025 relative à l’obligation de mettre en œuvre des actions urgentes ou prioritaires au service de la sécurité des systèmes d’information dans les établissements sanitaires
Une question sur le programme CaRE ?
Retrouvez les réponses aux questions les plus fréquentes.
Comment gérer l'accès aux services numériques sensibles pour les professionnels qui n'ont aujourd'hui pas de RPPS ?
L'offre de service d'identification électronique de l'Agence du Numérique en Santé (ANS) évolue. En effet, un service d'enregistrement national pour l'ensemble des professionnels utilisateurs du système d'information de l'établissement va être proposé. L'enregistrement national du professionnel sera ainsi un prérequis pour l'obtention d'un moyen d'identification électronique délivrée par l'ANS. Chaque identité numérique enregistrée dans ce répertoire national d'identité aura accès à un e-CPS. Selon la contractualisation entre la structure d'exercice et l'ANS, une carte physique pourra être délivrée au professionnel.
Pour l'accès aux services numériques sensibles externes (nationaux, régionaux), l'ouverture de l'enregistrement des professionnels à rôle du secteur sanitaire sera disponible au terme de la phase d'expérimentation en cours via l'appel à projet alpha CaRE-HospiConnect.
Est-ce que le contrôle en face à face d'une pièce d'identité est exigé lors de la délivrance du MIE à l'utilisateur ?
Le face à face, comme alternative à l’utilisation d’un MIE conforme lors d’une procédure à distance (ex : France Connect+) est requis pour la délivrance ou l’activation du MIE, mais pas nécessairement pour la création de l'identité numérique. A cette étape de la création de l'identité numérique dans le répertoire local, il n'est donc pas obligatoire qu'il y ait un face à face.
C'est au moment de la remise ou de l’activation du MIE qu'il faut s'assurer que les codes secrets sont remis à la personne qui correspond à cette identité (ou que l’on active localement ce MIE dans le cas d’un MIE national). Dans une cible de délivrance/activation du MIE sectoriel e-santé à partir d'un MIE substantiel (FranceConnect+), le MIE sectoriel serait lui-même de niveau de garantie substantiel et la vérification d'identité est induite.
L'obligation de double facteur d'authentification pour l'accès aux données de santé est-elle toujours applicable au 1er janvier 2026 ?
Oui, l'obligation est toujours applicable au 1er janvier 2026. Des travaux de révisions du référentiel d'identification électronique (RIE) PGSSI-S sont actuellement en cours (CNIL et ANSSI). Pour en savoir plus, nous vous invitons à consulter le replay du webinaire du 20/06/2025 qui traite de la sécurisation de la chaîne d'identification électronique des professionnels avec un retour d'expérience des lauréats d'HospiConnect.