Programme CaRE - Axe 4 : Sécurité opérationnelle

Cybersécurité accélération et Résilience des Etablissements (CaRE)

L'axe 4 du programme CaRE, consacré à la sécurité opérationnelle, est décliné en plusieurs domaines spécifiques.

Chacun de ces domaines vise à traiter une problématique technique précise et à combler les lacunes existantes en matière de cybersécurité, afin d'offrir une protection renforcée aux systèmes d'information des établissements de santé.

Déploiement des domaines du programme CaRE

Courant 2025

Lancement des domaines Stratégie de continuité et de reprise d'activité (D2) et Sécurisation des accès distants (D3)

9 septembre 2024

Webinaire Programme CaRE : Atteinte des objectifs Domaine 1

18 mars 2024

Lancement du domaine Annuaires techniques et exposition sur internet et de la phase Alpha du domaine HospiConnect

Les domaines de sécurité opérationnelle

Domaine Annuaires techniques et exposition sur internet

Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.

Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet

Pour poser votre candidature, vous pouvez passer par la plateforme "Convergence - eCaRE" en cliquant sur le bouton ci-dessous

L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.

Le premier appel à financement vise à :

  • atteindre un premier niveau de remédiation de l'exposition sur Internet ;
  • atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
  • se préparer au risque d’une cyberattaque ;
  • s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
  • prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).

Domaine Stratégie de continuité et de reprise d’activité

L’objectif du domaine Stratégie de continuité et de Reprise d’activité est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.


Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.​

L'ouverture du domaine se fera courant d'année 2025

Domaine Sécurisation des accès distants

L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.

L'ouverture du domaine se fera courant d'année 2025

L'ouverture du domaine se fera courant d'année 2026

Domaine HospiConnect

Le domaine HospiConnect, inscrit dans l’axe 4 du programme CaRE, porte sur l’accompagnement technique et financier des établissements pour déployer auprès des professionnels qui y exercent les moyens d’identification électroniques (MIE) les mieux adaptés.

Il vise à simplifier et sécuriser l’accès des professionnels aux services numériques sensibles des établissements et aux services socles nationaux du numérique en santé (par exemple le DMP), sur la base :

  • D’une identité sectorielle nationale unique;
  • De l’utilisation de moyens d’identification électronique (MIE) à double-facteur d’authentification (2FA) associé à cette identité, en particulier les dispositifs proposés par la fédération ProSanté Connect ;
  • De la mise en œuvre de solutions d’Identity & Access management (IAM) pour améliorer la gestion des habilitations et de briques de Single Sign On (SSO) pour simplifier l’authentification des professionnels.

Plusieurs appels à projets sont prévus dès mars 2024, avec des financements dédiés à destination des structures candidates :

  • Phase 1 – ALPHA : Appel à projet d’expérimentation destiné à un nombre limité de structures (15) ;
  • Phase 2 - BETA : AAP destiné à un nombre étendu de structures ;
  • Phase 3 - GÉNÉRALISATION : dispositif destiné à toutes les structures.

Une question sur le programme CaRE ?

Retrouvez les réponses aux questions les plus fréquentes.

Nos partenaires