Besoin d'être guidé ?
Trouvez l'information ou la démarche correspondant à votre situation
85 % des établissements éligibles ont candidaté au premier appel à financement, soit 1182 établissements
+ 7000 audits de la surface d’exposition sur internet ont été réalisés par les candidats
Domaine Stratégie de continuité et de reprise d’activité
L’objectif du domaine Stratégie de continuité et de Reprise d’activité est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
Lancement du domaine
L’arrêté publié le 16 juillet 2025 lance le nouvel appel à financement du programme CaRE. L'appel à financement vise à accompagner les établissements sanitaires dans l'élaboration, la sécurisation et le test de leurs Plan de Continuité d'Activité et Plan de Reprise d'Activité, ainsi que de leurs dispositifs de sauvegarde.
Les principaux jalons de cet appel à financement sont détaillés dans les annexes de l’arrêté.
Pour en savoir plus sur l'arrêté du financement du domaine Stratégie de continuité et de reprise d'activité, vous pouvez également consulter les ressources documentaires du domaine en cliquant sur le bouton ci-dessous.
Conformément à l’arrêté du 3 juillet 2025, publié au Journal Officiel le 16 juillet 2025, le guichet de dépôt des candidatures est désormais fermé (il était ouvert du 2 septembre au 31 octobre 2025).
Le guichet de dépôt d'atteinte des objectifs est ouvert depuis le 16 janvier 2026.
Programme CaRE - Présentation du Domaine 2 : Stratégie de continuité et de reprise d'activité - Webinaire dédié aux directions qualitéUn troisième webinaire de présentation du domaine 2, a été organisé le 17 novembre 2025 pour détailler les objectifs impliquant les directions qualité. Ce webinaire est disponible en replay. Vous pouvez consulter le support de présentation et les documents évoqués ici
|
Programme CaRE - Présentation du Domaine 2 : Stratégie de continuité et de reprise d'activité - Webinaire objectifsUn second webinaire de présentation du domaine 2, a été organisé le 11 septembre 2025 pour détailler les objectifs et les prérequis à remplir. Ce webinaire est disponible en replay. Vous pouvez consulter le support de présentation et les documents évoqués ici
|
Programme CaRE - Présentation du Domaine 2 : Stratégie de continuité et de reprise d'activité - Webinaire PrérequisUn webinaire de présentation du domaine 2, du calendrier, des prérequis et des modalités de candidature a été organisé le 22 juillet 2025. Ce webinaire est disponible en replay. Vous pouvez consulter le support de présentation et les documents évoqués ici
|
Domaine Annuaires techniques et exposition sur internet
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le premier appel à financement vise à :
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet. Vous pouvez également consulter les ressources documentaires du domaine en cliquant sur le bouton ci-dessous.
Le guichet de déclaration d’atteinte des objectifs du premier appel à financement du plan CaRE a fermé le 30 juin 2025.
À la clôture du guichet, plus de 1 000 candidats ont déclaré avoir atteint les objectifs fixés, soit près de 90 % des candidatures validées.
La phase d’instruction des dossiers est désormais en cours, menée séquentiellement par les ARS et l’ANS. Elle s’achèvera :
Elle s'est achevée le 30 septembre 2025 pour les ARS
Et s'achèvera d'ici fin juin 2026 pour l’ANS.
Ajustement des modalités de contrôle de l'atteinte des objectifs
L'Agence du numérique en Santé a ajusté les modalités de contrôle appliquées lord de l'analyse des déclarations d'atteinte des objectifs du Domaine 1. Ces ajustements s'accompagnent également d'un dispositif d'atteinte partielle permettant une modulation du financement lorsque certains objectifs ne sont pas entièrement atteints. La description complète de ces ajustements (incluant exemples et cas particuliers) est disponible dans la note explicative dédiée dans les ressources documentaires.
Ce webinaire s'adresse aux régions (GRADeS, ARS) et aux établissements de santé ayant une candidature au Domaine 1 validée. L'objectif est de présenter des réponses aux questions les plus fréquentes au sujet d'atteinte des objectifs, avec un focus particulier sur l'état financier à renseigner.
Domaine Annuaires techniques et exposition sur internet (D1 bis)
Le Domaine 1 bis s’inscrit dans la continuité du domaine 1 du programme CaRE. Il vise à étendre le dispositif de financement à des structures jusqu’alors non couvertes, en poursuivant les objectifs de renforcement de la sécurité des systèmes d’information liés à la maîtrise de l’exposition sur Internet et des annuaires techniques.
L’arrêté relatif au domaine 1 bis est finalisé et le lancement de cet appel à financement interviendra dans les prochaines semaines. L'ouverture du guichet est programmée au premier trimestre 2026. Le calendrier global du domaine sera précisé prochainement.
Pour rappel, sont éligibles au domaine 1 bis :
Les structures mixtes, ayant intégré les établissements 146 dans le cadre des travaux du domaine 1, ne peuvent pas candidater au domaine 1 bis.
Point de vigilance : Le domaine 1 bis s’adresse uniquement aux établissements définis par l’arrêté. Il n’a pas pour objet d’offrir une possibilité de rattrapage aux établissements n’ayant pas déposé de candidature ou n’ayant pas transmis l’atteinte des objectifs dans le cadre du domaine 1.
Programme CaRE - Présentation du Domaine 1 bis : Annuaires techniques et exposition sur internet - Périmètre complémentaire
Ce webinaire s’adresse aux établissements de santé souhaitant candidater au domaine 1 bis « Annuaires techniques et exposition sur internet - Périmètre complémentaire ». L'occasion de présenter le dispositif, les structures éligibles, les modalités de candidature, ainsi que les prérequis et les objectifs attendus des établissements.
Ce webinaire est disponible en replay. Vous pouvez consulter le support de présentation et les documents évoqués ici.
|
Domaine Sécurisation des accès distants
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera courant d'année 2026.
Les prérequis et objectifs du domaine sont en cours de concertation, celui-ci sera co-construit avec des établissements et des industriels.
L'ouverture du domaine se fera courant d'année 2026
Le domaine HospiConnect, inscrit dans l’axe 4 du programme CaRE, porte sur l’accompagnement technique et financier des établissements pour déployer auprès des professionnels qui y exercent les moyens d’identification électroniques (MIE) les mieux adaptés.
Il vise à simplifier et sécuriser l’accès des professionnels aux services numériques sensibles des établissements et aux services socles nationaux du numérique en santé (par exemple le DMP), sur la base :
Suite à l’appel à projet « HospiConnect Alpha » qui a constitué une démarche expérimentale réunissant plus de 15 établissements, la Délégation au Numérique en Santé et l’Agence du Numérique en Santé engage la généralisation du dispositif HospiConnect.
Ce dispositif porte une approche contextualisée d’accompagnement des établissements sanitaires au travers d’une évolution de l’offre de services de l’ANS en matière d’identification électronique, de l’actualisation du cadre réglementaire applicable, ainsi que de ressources méthodologiques et de programmes de financement visant à soutenir les établissements.
Deux dispositifs de financement complémentaires – et effectifs sur une durée de 3 ans – sont aujourd’hui proposés par les dispositifs HospiConnect/HOP’EN2 et HospiConnect/CaRE.
Un guichet de candidature unique est mis en place pour ces deux dispositifs. Il est ouvert jusqu’au 20 février 2026. La candidature est à réaliser sur la plateforme Convergence, selon un processus identique aux précédents domaines du programme CaRE.
Pour en savoir plus sur les dispositifs de financement proposés :
- Le dispositif HospiConnect/HOP’EN2 vise à donner l’impulsion et financer les établissements dans la sécurisation de la chaîne d’identification électronique permettant l’accès au système d’information hospitalier et la consultation du DMP. Ce dispositif est porté par l’instruction n° DNS/2025/180 du 29 décembre 2025 ;
- Le dispositif HospiConnect/CaRE vise à financer les moyens d’authentification électroniques et les composants nécessaires à leur lecture pour permettre aux établissements de santé la mise en œuvre d’une authentification à deux facteurs (2FA) conforme au Référentiel d’Identification Electronique de la PGSSI-S. Ce dispositif est porté par l’arrêté du 27 janvier 2026 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - HospiConnect.
Présentation du premier appel à projet lié au domaine HospiConnect :
Le domaine AAP MS, inscrit dans l’axe 4 du programme CaRE, vise à accompagner les structures du secteur médico-social dans l’amélioration de leur niveau de cybersécurité, autour des objectifs suivants :
1) Améliorer la résilience des systèmes d’information (détection, réponse et reprise après attaque) ;
2) Réduire l’exposition des structures aux menaces cyber ;
3) Sensibiliser les professionnels du secteur à la cybersécurité ;
4) Favoriser la mutualisation afin de doter les structures de ressources en sécurité des systèmes d’information (SSI) ;
5) Assurer la conformité réglementaire, notamment au regard de la directive NIS2.
Conçu de manière itérative, en concertation avec la task force cyber, les ARS, les Centres Régionaux de Ressources Cyber et les fédérations du secteur, ce dispositif couvrira l’ensemble des thématiques du programme CaRE.
L’appel à projets sera déployé de manière progressive jusqu’en 2027, avec plusieurs phases :
Phase 1 – POC (Proof of Concept) : première itération visant à tester le dispositif, limitée à environ 21 structures lauréates ;
Phases suivantes : élargissement progressif du périmètre à un plus grand nombre de structures, intégration de parcours thématiques supplémentaires et renforcement des démarches de mutualisation, en s’appuyant sur les enseignements issus de la phase POC.
L'ouverture du guichet de candidature pour le POC est prévue pour la fin du premier trimestre 2026.
Trois parcours de cybersécurité axés sur le niveau de maturité cyber initial des structures éligibles ont été construits pour ce POC.
Pour en savoir plus sur la cybersécurité dans le secteur médicosocial :
Retrouvez les réponses aux questions les plus fréquentes.
Non, l’atteinte de l’objectif repose sur la mise en œuvre d’un système d’authentification sécurisé et indépendant pour l’accès aux infrastructures de sauvegarde. Le candidat est libre du choix de la solution mise en œuvre pour atteindre cet objectif, qui peut reposer sur un active directory dédié comme sur des comptes locaux.
Dans le cas où un active directory dédié est mis en œuvre, un niveau supérieur ou égale à 3 doit être obtenu à l’audit ADS réalisé en fin de phase opérationnelle.
Le choix du mode de cloisonnement mis en œuvre pour les infrastructures sauvegardes est laissé au choix du candidat.
Le candidat devra soumettre le schéma technique et fonctionnel permettant de présenter la solution, qui devra garantir une capacité technique d’isolation en cas d’incident.
Le candidat est libre d’utiliser la méthodologie de son choix pour atteindre l’objectif, bien qu’il soit vivement recommandé de suivre la méthodologie et les modèles documentaires proposés dans le kit PCRA de l’ANS (accessible aux liens suivants : Espace de Documentation CaRE | E-Santé).
Pour rappel, l’atteinte de l’objectif D2.01.C repose sur :
La réalisation d’un BIA est donc requise a minima pour les périmètres identifiés et ce dernier doit intégrer les informations suivantes indépendamment du modèle utilisé : (i) la liste des activités considérées, (ii) le degré de criticité de chaque activité selon une échelle temporelle, (iii) les types d’impacts associés à une interruption d’activité, (iv) le délai maximal d’indisponibilité de l’activité, et (v) les besoins matériels et humains liés à l’indisponibilité.
Vous avez des questions autour du programme CaRE (demande d'accompagnement autour de la cybersécurité, du financement CaRE, de votre éligibilité au programme...).
