Besoin d'être guidé ?
Trouvez l'information ou la démarche correspondant à votre situation
85 % des établissements éligibles ont candidaté au premier appel à financement, soit 1182 établissements
+ 7000 audits de la surface d’exposition sur internet ont été réalisés par les candidats
Domaine Annuaires techniques et exposition sur internet
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le premier appel à financement vise à :
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet. Vous pouvez également consulter les ressources documentaires du domaine en cliquant sur le bouton ci-dessous.
Le guichet de déclaration d’atteinte des objectifs du premier appel à financement du plan CaRE a fermé le 30 juin 2025.
À la clôture du guichet, plus de 1 000 candidats ont déclaré avoir atteint les objectifs fixés, soit près de 90 % des candidatures validées.
La phase d’instruction des dossiers est désormais en cours, menée séquentiellement par les ARS et l’ANS. Elle s’achèvera :
le 30 septembre 2025 pour les ARS,
et le 31 décembre 2025 pour l’ANS.
Ce webinaire s'adresse aux régions (GRADeS, ARS) et aux établissements de santé ayant une candidature au Domaine 1 validée. L'objectif est de présenter des réponses aux questions les plus fréquentes au sujet d'atteinte des objectifs, avec un focus particulier sur l'état financier à renseigner.
Domaine Stratégie de continuité et de reprise d’activité
L’objectif du domaine Stratégie de continuité et de Reprise d’activité est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
Lancement du domaine
L’arrêté publié le 16 juillet 2025 lance le nouvel appel à financement du programme CaRE. L'appel à financement vise à accompagner les établissements sanitaires dans l'élaboration, la sécurisation et le test de leurs Plan de Continuité d'Activité et Plan de Reprise d'Activité, ainsi que de leurs dispositifs de sauvegarde.
Les principaux jalons de cet appel à financement sont détaillés dans les annexes de l’arrêté.
Pour en savoir plus sur l'arrêté du financement du domaine Stratégie de continuité et de reprise d'activité, vous pouvez également consulter les ressources documentaires du domaine en cliquant sur le bouton ci-dessous.
Conformément à l’arrêté du 3 juillet 2025, publié au Journal Officiel le 16 juillet 2025, le guichet de dépôt des candidatures est ouvert du 2 septembre au 31 octobre 2025.
Pour déposer votre candidature dans le domaine concerné, vous pouvez utiliser la plateforme « Convergence – eCaRE »
Un webinaire de présentation du domaine 2, du calendrier, des prérequis et des modalités de candidature a été organisé le 22 juillet 2025. Ce webinaire est disponible en replay. Vous pouvez consulter le support de présentation et les documents évoqués ici
Un nouveau webinaire de présentation du Domaine 2 est organisé le 11 septembre 2025. Inscrivez-vous dès maintenant pour poser toutes vos questions aux équipes de l'ANS.
Domaine Sécurisation des accès distants
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera courant d'année 2025
L'ouverture du domaine se fera courant d'année 2026
Le domaine HospiConnect, inscrit dans l’axe 4 du programme CaRE, porte sur l’accompagnement technique et financier des établissements pour déployer auprès des professionnels qui y exercent les moyens d’identification électroniques (MIE) les mieux adaptés.
Il vise à simplifier et sécuriser l’accès des professionnels aux services numériques sensibles des établissements et aux services socles nationaux du numérique en santé (par exemple le DMP), sur la base :
Plusieurs appels à projets sont prévus dès mars 2024, avec des financements dédiés à destination des structures candidates :
Présentation du premier appel à projet lié au domaine HospiConnect :
Retrouvez les réponses aux questions les plus fréquentes.
L'objectif D02.03.C porte sur l'ensemble des données nécessaires à la continuité des activités critiques.
Une sauvegarde est considérée immuable si, une fois écrit, son contenu ne peut plus être modifié ni supprimé (volontairement ou involontairement) pendant une durée définie. Cette immuabilité doit être garantie par la "technologie" (certifiée ou non / Implémentation de mécanismes internes ou produit déjà packagé), et non seulement par des procédures organisationnelles.
Exemples considérés comme immuables :
Exemples non immuables / "altérables" :
En résumé : l’externalisation ou la redondance ne suffisent pas ; seule une contrainte technique empêchant toute modification/suppression prématurée (volontaire ou non) permet de qualifier la sauvegarde d’immuable.
Le Plan Blanc est un dispositif de crise qui permet à un établissement de santé de mobiliser immédiatement les moyens de toute nature dont il dispose en cas d’afflux de patients, ou pour faire face à une situation sanitaire exceptionnelle.
Le Plan de Continuité et de Reprise d’Activité (PCRA) est un plan de réponse du niveau stratégique en cas d’événement perturbateur entraînant une indisponibilité d’une ou plusieurs ressources critiques.
Le PCRA est complémentaire au Plan Blanc. Si ces deux documents peuvent intégrer certaines procédures conjointes, un Plan Blanc ne constitue pas un PCRA.
Vous avez des questions autour du programme CaRE (demande d'accompagnement autour de la cybersécurité, du financement CaRE, de votre éligibilité au programme...).
