Journée Portes Ouvertes Le  14 juin !
Je m'inscris !
En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.
PreferencesRefuserAccepter
Blog
Programme CaRE : renforcer la cybersécurité des établissements de santé

Programme CaRE : renforcer la cybersécurité des établissements de santé

Découvrez comment le programme CaRE aide les établissements à protéger leurs données et assurer la continuité des soins.

14/5/2025
NoémieFavicon Oteria Cyber School
Noémie
Programme CaRE : renforcer la cybersécurité des établissements de santé
Sommaire
💡  Ce qu’il faut retenir de l’article

Face à la montée en puissance des cyberattaques visant les établissements de santé, la cybersécurité est devenue une priorité nationale. Le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) a été lancé par l’Agence du Numérique en Santé pour renforcer la résilience et la sécurité des systèmes d’information du secteur hospitalier, dans un contexte où la menace cyber ne cesse de croître.

Ce dispositif s’inscrit dans un cadre réglementaire renforcé en 2025, avec des exigences accrues en matière de continuité d’activité, de protection des données de santé, et de sécurité opérationnelle. Il vise à accompagner les structures, quel que soit leur niveau de maturité, dans la mise en œuvre d’actions concrètes, financées en partie par l’État, pour protéger leurs infrastructures numériques.

Dans cet article, nous vous présentons les objectifs, axes, financements et conditions d’accès au programme CaRE, tout en mettant en lumière les enjeux clés pour les responsables SSI et directions d’établissement. En tant qu’école experte du domaine cyber, nous partageons également notre vision de la montée en compétences nécessaire pour soutenir durablement cet effort collectif.

🧩 Chiffre clé :

“1 hôpital sur 2 a subi une cyberattaque en 2023” (source : ANS)

🔍 Comprendre le programme CaRE et son rôle dans la cybersécurité

Origine, objectifs et bénéficiaires

Le programme CaRE trouve son origine dans les alertes répétées autour des cyberattaques visant les établissements de santé, notamment après la crise des ransomwares de 2020-2021. Porté par l’Agence du Numérique en Santé (ANS) dans le cadre du Ségur numérique, il s’inscrit comme une réponse stratégique face à l’exposition croissante des systèmes hospitaliers sur internet.

Son objectif principal est de favoriser la montée en maturité cybersécurité des structures médicales, en les accompagnant dans la mise en œuvre de plans d’action concrets, adaptés à leur niveau de sécurité actuel. Cela passe par la prévention des risques, le renforcement des pratiques opérationnelles et la continuité d’activité en cas de crise cyber.

Le programme s’adresse à une grande diversité de structures : centres hospitaliers, groupements hospitaliers de territoire (GHT), établissements du secteur médico-social ou encore services de santé numérique.

Pourquoi une initiative dédiée au secteur de la santé ?

Les systèmes d’information hospitaliers gèrent des données extrêmement sensibles et sont souvent contraints par des infrastructures vieillissantes. Or, toute atteinte à leur disponibilité peut directement impacter la prise en charge des patients, mettant en péril des soins critiques.

Le secteur présente également des spécificités techniques et organisationnelles qui justifient une approche ciblée : hétérogénéité des logiciels, multiplicité des intervenants, ressources humaines limitées, etc.

Les acteurs mobilisés au niveau national et régional

Le pilotage du programme est assuré par l’ANS, qui définit les référentiels, gère les appels à projets et structure les modalités de financement. En région, les Agences Régionales de Santé (ARS) jouent un rôle de coordination et d'accompagnement opérationnel.

Des prestataires labellisés sont également mobilisés pour intervenir sur les volets techniques : audits, plans de reprise, sécurisation des accès, exercices de crise

🧩 Point de vigilance :

Le programme CaRE ne remplace pas les obligations de cybersécurité de droit commun (PGSSI-S, RGPD…).

☝🏼 Les 4 axes stratégiques du programme CaRE

Le programme CaRE repose sur quatre axes complémentaires pour bâtir une cybersécurité robuste et adaptée aux spécificités du secteur hospitalier. Chaque domaine cible un levier essentiel pour renforcer la résilience numérique des établissements.

Gouvernance et résilience organisationnelle

Ce premier axe vise à structurer une gouvernance de la sécurité des systèmes d'information (SSI) au sein des établissements. Cela implique la désignation d’un référent cybersécurité, la formalisation de plans de continuité d’activité (PCA) et l’intégration du pilotage cyber dans les instances décisionnelles.

🧩 Conseil d’expert :

Ne négligez pas l’axe gouvernance : il conditionne l’efficacité des autres volets. Sans un cadre clair et partagé, les efforts techniques restent isolés.

Mutualisation des ressources et outils partagés

Pour gagner en efficacité, le programme encourage le partage de services et d’outils entre établissements, notamment au sein des GHT. Des plateformes comme HospiConnect permettent une centralisation de l’information, un accès mutualisé aux annuaires techniques, et une meilleure visibilité sur les expositions à risque sur internet.

🧩 Checklist – 4 prérequis pour engager votre établissement dans CaRE :

  • État des lieux du niveau de sécurité
  • Référent SSI identifié
  • Appétence à la mutualisation avec d’autres structures
  • Capacité à formaliser un plan d’action

Sensibilisation et formation des personnels

Ce pilier répond à un constat simple : la faille humaine reste l’une des premières causes d’incident. CaRE soutient la création de plans de sensibilisation adaptés à chaque profil (direction, soignants, techniciens), l’organisation d’exercices de crise, et l’accès à des contenus e-learning ou MOOC certifiés.

Renforcement de la sécurité opérationnelle

Enfin, l’axe opérationnel permet de financer des audits de sécurité, le renforcement des contrôles d’accès, la supervision réseau ou la réduction des surfaces d’exposition internet. Ces actions techniques visent à réduire les vulnérabilités critiques et à structurer une défense active au quotidien.

👇🏼 Actions prioritaires et obligations 2025 : ce que prévoit l’instruction DNS/2025/12

L’instruction DNS/2025/12, publiée en janvier 2025, formalise 7 actions prioritaires que les établissements doivent mettre en œuvre pour bénéficier du programme CaRE. Ces mesures structurantes servent de socle pour sécuriser l’ensemble du système d’information hospitalier.

Zoom sur les 7 mesures obligatoires pour les établissements

  1. Organiser un exercice de crise annuel pour tester la continuité d’activité face à un incident cyber.
  2. Réaliser une auto-évaluation de la maturité SSI via un outil structuré.
  3. Auditer régulièrement les infrastructures critiques, notamment les accès à distance.
  4. Mettre en place un Plan de Continuité d’Activité (PCA) et un Plan de Reprise (PRA).
  5. Intégrer la cybersécurité dans la gestion des risques et la qualité.
  6. Appliquer les référentiels d’authentification/identité (PGSSI-S).
  7. Suivre et déclarer la part du budget numérique allouée à la cybersécurité.

Exemples d’actions financées : audit, PRA/PCA, auto-évaluation

Les dépenses éligibles incluent aussi bien les prestations de conseil (pilotage, mise en conformité) que les investissements immatériels (outils d’analyse, formations). Les audits techniques, la rédaction d’un PRA ou la réalisation d’un exercice de simulation peuvent ainsi être pris en charge.

🧩 Mythe vs Réalité :

“CaRE finance uniquement du matériel” — Faux : le programme finance aussi les formations, études préalables et actions de coordination.

Lien avec les outils de pilotage comme HospiConnect

Les établissements sont encouragés à utiliser des plateformes comme HospiConnect pour centraliser leurs données de maturité, planifier les actions, suivre leur exécution et partager les bonnes pratiques au niveau régional et national. L’outil facilite la supervision des engagements pris dans le cadre de l’instruction DNS.

🧐 Financements et modalités d’accès au programme CaRE

Types de financements (ponctuels, annuels, régionaux)

Le programme CaRE propose plusieurs types de financements pour soutenir la mise en œuvre des actions de cybersécurité. Les enveloppes ponctuelles permettent de lancer des projets ciblés via des appels à financement. Les financements annuels, quant à eux, servent à maintenir le niveau de sécurité acquis. À l’échelle régionale, certaines ARS proposent des dispositifs spécifiques selon les priorités locales.

Comment candidater et se faire accompagner ?

La candidature passe généralement par un dossier à soumettre à l’ARS, comprenant un diagnostic de maturité, une fiche projet, un budget prévisionnel, et une lettre d’engagement. Des prestataires labellisés ou les cellules régionales cyber peuvent accompagner l’élaboration du dossier.

🧩 Astuce pratique :

Anticipez vos besoins à 18 mois pour cadrer votre demande et optimiser vos chances de financement.

Exemples d’initiatives régionales (ex : Auvergne-Rhône-Alpes)

En région Auvergne-Rhône-Alpes, un accompagnement spécifique a été déployé avec des sessions de diagnostic collectif, un soutien à la priorisation des risques, et une aide au montage des dossiers. D'autres régions proposent également des guichets d'aide ou des forums régionaux cybersécurité.

📌 Encadré : À qui m’adresser ?

  • ARS régionale
  • Référent cybersécurité de votre GHT
  • Prestataire CaRE labellisé
  • Agence du Numérique en Santé (ANS)

👋🏼 Nous formons les experts capables de sécuriser le secteur santé

Chez Oteria, nous intégrons ces enjeux dans nos formations

À Oteria, nous formons nos étudiants à répondre aux défis concrets de la cybersécurité dans le secteur de la santé. Des cas pratiques sur la gestion de crise, la création de PCA/PRA, ou encore l’analyse de risques numériques en environnement hospitalier sont intégrés dans nos modules dès le Bachelor.

Focus sur les parcours Sécurité Offensive, Blue Team, GRC

Nos spécialisations en Mastère permettent de cibler des domaines techniques clés :

  • Sécurité Offensive : test d’intrusion sur SI de santé, audit de vulnérabilités.
  • Blue Team : surveillance, détection d’attaque, réponse à incident.
  • GRC (Gouvernance, Risques et Conformité) : mise en conformité PGSSI-S, analyse de risques, pilotage d’indicateurs cyber.

🧩 Chiffre clé :

Plus de 70 % de nos étudiants effectuent leur alternance dans des structures de santé ou partenaires du programme CaRE.

Apprendre aux côtés d’intervenants issus du terrain (santé, armée, ANSSI)

Nos cours sont dispensés par des experts de terrain :

  • Un ex-responsable cyber d’hôpital public
  • Un analyste d'incidents cyber à l’ANS
  • Un officier sécurité des systèmes d'information des armées

🧩 Avantage clé :

50 intervenants professionnels issus des secteurs les plus sensibles, dont la santé, accompagnent nos étudiants tout au long de leur formation.

❓ FAQ – Vos questions sur le programme CaRE

Quels établissements peuvent bénéficier du programme ?

Tous les établissements de santé publics ou privés, ainsi que les structures du médico-social, sont éligibles, qu’ils soient isolés ou rattachés à un GHT. Les services de santé numérique peuvent également déposer un dossier.

Peut-on candidater à plusieurs domaines en parallèle ?

Oui, un établissement peut candidater sur plusieurs axes simultanément (gouvernance, opérationnel, etc.) à condition de démontrer une capacité de mise en œuvre et un pilotage structuré.

🧩 Astuce pratique :

Orientez votre candidature selon la maturité SSI de votre structure pour éviter les projets trop dispersés.

Existe-t-il une priorité entre les axes ?

Aucune hiérarchie officielle, mais certaines ARS recommandent de démarrer par la gouvernance ou les actions de sensibilisation avant d’aller vers des volets plus techniques.

Quels types de dépenses sont éligibles ?

Les dépenses éligibles couvrent : prestations de conseil, audits, outils logiciels, formations, plans PCA/PRA ou encore exercices de simulation.

Quels types d’exercices de crise peuvent être financés ?

Les exercices doivent porter sur un scénario cyber réaliste, impliquer plusieurs fonctions (DSI, direction, médical...) et respecter un cahier des charges fourni par l’ANS.

🧩 À noter :

Seuls les exercices structurés (planifiés, évalués, documentés) sont financés. Une simple réunion de sensibilisation ne suffit pas.

⚕️Oteria, au cœur des enjeux cyber du secteur santé

Le programme CaRE représente une opportunité stratégique pour les établissements de santé souhaitant renforcer durablement leur cybersécurité et leur capacité à faire face à des crises numériques. Entre accompagnement technique, financements ciblés et ressources partagées, il constitue un levier concret pour structurer la résilience du système de santé à l’échelle nationale et régionale.

🎯 Vous souhaitez jouer un rôle dans la sécurisation des systèmes hospitaliers ?
👉 Découvrez nos formations en cybersécurité, pensées pour répondre aux enjeux du secteur santé : oteria.fr

Autres actualités

Blog
Oteria x I-TRACING : un partenariat stratégique pour former les experts de la cybersécurité défensive
Programme et formation

Oteria x I-TRACING : un partenariat stratégique pour former les experts de la cybersécurité défensive

I-TRACING et Oteria : un partenariat éducatif autour de la majeure Blue Team !

Pictogramme calendrier Oteria
15/5/2025
Programme CaRE : renforcer la cybersécurité des établissements de santé
Inside Cyber

Programme CaRE : renforcer la cybersécurité des établissements de santé

Découvrez comment le programme CaRE aide les établissements à protéger leurs données et assurer la continuité des soins.

Pictogramme calendrier Oteria
14/5/2025
Comment se former pour travailler dans la cybersécurité ? Métiers, études et débouchés
Inside Cyber

Comment se former pour travailler dans la cybersécurité ? Métiers, études et débouchés

explorez les parcours de formation, les métiers qui montent, et trouvez la voie qui vous correspond

Pictogramme calendrier Oteria
12/5/2025