Les 1 182 établissements candidats devaient déclarer l’atteinte des objectifs fixés dans ce domaine avant cette date pour pouvoir bénéficier des subventions. 

• À la clôture du guichet, plus de 1 000 candidats ont déclaré avoir atteint les objectifs fixés, soit près de 90 % des candidatures validées. Cela représente un montant d’engagement d’environ 58 millions d’euros, sur les 65 millions prévus. 

• Les dossiers déposés sont répartis de la sorte par type d’établissement :  

La phase d’instruction des dossiers est désormais en cours, menée séquentiellement par les ARS et l’ANS. Elle s’achèvera : 

• le 30 septembre 2025 pour les ARS ;

• et le 31 décembre 2025 pour l’ANS. 

16 dossiers ont déjà été validés, un chiffre qui va progresser dans les prochains jours au gré des instructions des dossiers. 

En répondant aux objectifs du domaine, les établissements de santé démontrent une volonté forte de combler leur dette technologique, de renforcer la sécurité de leurs systèmes et de réduire leur exposition aux cybermenaces.  

Pendant la phase opérationnelle : 

• Plus de 7 000 audits de la surface d’exposition sur internet ont été réalisés par les candidats. Ces audits ont été menés par les industriels en complément du service SILENE délivré par l’ANSSI.  

• En octobre 2024, 40% des audits réalisés mensuellement par les industriels identifiaient au moins une vulnérabilité critique. À l'issue de la phase opérationnelle, ce taux est de seulement 0,69%.  

Les candidats ont réalisé également des audits de sécurité des annuaires Active Directory afin de détecter les vulnérabilités et mettre en place des mesures correctives pour atteindre un niveau de sécurité conforme aux objectifs de ce premier domaine. La part de ces audits atteignant un niveau supérieur ou égal à 2 suit une trajectoire d’amélioration similaire à celle observée sur les audits de la surface d’exposition. 

La forte mobilisation observée illustre un engagement concret et collectif pour renforcer la résilience du système de santé face aux risques numériques. Cette dynamique se traduit notamment par une baisse du nombre d’incidents majeurs, comme le souligne le  rapport 2024 de l’Observatoire des signalements d’incidents de SSI en santé publié par le CERT Santé le 3 juin 2025. L’un des facteurs explicatifs pourrait être la réalisation des remédiations à la suite des audits dans le cadre du domaine concerné. 

La dynamique amorcée se prolonge dans d'autres domaines, dont certains ont déjà été identifiés comme prioritaires : HospiConnect, la « Stratégie de continuité et de reprise d’activité », dont le lancement est imminent, et la « Sécurisation des accès distants », en cours de co-construction avec l’écosystème. 

Source : ANS

Doté d’une enveloppe de 65 millions d’euros, cet appel à financement constitue un formidable accélérateur pour accompagner les 1 181 établissements candidats. Ces derniers ont, au cours des derniers mois, réalisé un travail remarquable et nécessaire pour assurer la maîtrise de leur exposition sur internet et la sécurisation de leurs annuaires techniques. Les résultats des audits montrent une nette amélioration de ces éléments, avec une forte diminution de la part d’établissements présentant des vulnérabilités critiques.

"Aujourd'hui, la direction du programme CaRE est heureuse d’annoncer la validation du premier dossier de candidature ayant atteint l’ensemble des objectifs fixés", indique l'Agence du numérique en santé (ANS).

Le GHT Rhône Nord Beaujolais Dombes, dont la candidature est portée par les Hôpitaux Nord-Ouest – Villefranche, est le premier dossier à avoir validé les objectifs du domaine. Cet accomplissement est d'autant plus remarquable qu'en 2021, l'établissement a subi une cyberattaque par rançongiciel, rendant son système informatique complètement inopérant. Cette réussite démontre que, même face à des défis majeurs, il est possible de renforcer la sécurité opérationnelle et de répondre aux exigences du programme.

À la suite de cette belle réussite, le GHT a rapidement reçu la subvention de la part de l’Agence du Numérique en Santé (ANS) en reconnaissance de l’atteinte des objectifs fixés. « Garantir la sécurité du système d'information de nos établissements face à la menace cyber constitue une priorité stratégique. Cette mission, complexe mais essentielle, requiert un engagement constant et des soutiens structurants. L’accompagnement du programme CaRE s’inscrit pleinement dans cette dynamique ». 

A date, plusieurs autres établissements candidats ont déposé leurs preuves d’atteinte des objectifs qui sont en cours de contrôle par les ARS et l’ANS, illustrant l’engagement des établissements de santé dans ce programme et leur détermination à renforcer leur sécurité opérationnelle.

La direction du programme CaRE remercie l’ensemble des Agences régionales de santé pour leur implication dans l’instruction des dossiers concernés et encourage vivement tous les candidats de l’appel à financement à poursuivre leurs efforts. Pour rappel, la date limite pour déclarer l’atteinte des objectifs et déposer les pièces justificatives sur la plateforme dédiée « eCaRE » est fixée au 30 juin 2025.

Source : ANS
 

Les établissements de santé sont parmi les structures les plus visées par les cyberattaques (après les collectivités locales et les PME). Comme le révèle le Panorama de la cybermenace publié par l’Agence Nationale de la Sécurité de Systèmes d’Information (ANSSI), les établissements de santé sont encore exposés à de nombreux actes de cyber-malveillance avec des conséquences qui peuvent être majeures sur la sécurité et la qualité de prise en charge des patients.

Face à cette menace, le ministère de la santé et de l’accès aux soins a lancé, en décembre 2023, le programme CaRE (Cyber Acceleration et Résilience des établissements de santé). Il constitue une réponse inédite pour mettre à niveau les systèmes d’information ciblés par les attaquants et à renforcer durablement la résilience des établissements de santé et des établissements sociaux et médico-sociaux.

Ce programme décline ainsi un plan d’action concret et ambitieux jusqu’en 2027. Il passe notamment par des financements inédits à la hauteur des enjeux en matière de cybersécurité. Le plan d’action a identifié des domaines d’intervention prioritaires et a mis en place un système de soutien financier ambitieux pour aider les établissements à rattraper les retards constatés.

La mobilisation des acteurs sur le terrain est sans précédent. Les directeurs d’établissements et d’agence régionale de santé ont fait de la cyber sécurité une de leurs priorités. La certification HAS des établissements de santé inclut désormais des exigences cyber. Et sur le terrain un réseau de Centres de Ressources Régionaux Cybersécurité (CRRC) a été mis en œuvre pour épauler les établissements face au risque cyber.

La réponse à la menace cyber s’appuie sur une réponse collective et coordonnée. Le travail mis en œuvre dans le cadre du programme CaRE est construit avec l’engagement de la délégation au numérique en santé (DNS), l’Agence du numérique en santé (ANS), le fonctionnaire de la sécurité des systèmes d’information des Ministères sociaux (HFDS), l’ANSSI, les ARS, les groupements régionaux d’appui au développement de la e-santé (GRADeS), des experts de terrains ainsi que de représentants des établissements sanitaires et des fédérations hospitalières.

En 2024, deux premiers dispositifs de financement ont été mis en œuvre. Le premier concerne un appel à financement sur le domaine “Audits techniques : annuaires techniques et exposition sur internet”, doté d’une enveloppe de 65 M€.

Le premier volet du programme de financement, ouvert en mars 2024 et doté d’une enveloppe de 65 millions d’euros, ciblait les principales vulnérabilités des systèmes d’informations hospitaliers : 
–  l’exposition sur internet, qui est souvent la porte d’entrée principale exploitée par les attaquants ; 
–  l’annuaire technique (ou « Active Directory »), qui gère notamment les comptes d’accès d’un établissement et qui est exploité par les attaquants pour se propager dans le système pour causer plus de dégâts.

85% des établissements éligibles ont candidaté. La réussite de cette premier phase traduit l’engagement exceptionnel des établissements de santé face aux risques cyber. Les établissements candidats au programme ne sont financés que si un premier niveau de sécurisation a bien été atteint et évalués sur ce volet.

Les premiers résultats  montrent déjà une amélioration de la sécurisation de leurs “Active Directory” (AD) et de leur surface exposée sur Internet : 
–  Sur plus de 1000 établissements audités, la part des établissements ayant un “Active Directory” présentant une vulnérabilité majeure a baissé de 20 points entre mai 2024 et février 2025. 
–  Idem sur le volet de l’exposition internet, la part des établissements présentant des vulnérabilités critiques diminue fortement (-35 points entre août 2024 et janvier 2025).

Le deuxième, plus prospectif, porte sur l’expérimentation de nouveaux de connexion sécurisée à l’hôpital (appelé “HospiConnect” et doté d’une enveloppe de 1,4 M€ en 2024). Un premier bilan pourra être partagé à l’été 2025.

Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des ES, mais aussi leurs copies sauvegardées, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Après avoir traitées les vulnérabilités des principales briques techniques exploitées par les cyber attaquants, l’enjeu est maintenant de financer et de tester les stratégies de continuité et de reprise d’activité des établissements de santé. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment en améliorant leur système de sauvegarde et en documentant les usages de ce dernier.

La publication de l’arrêté lançant l’appel à financement sur les stratégies de sauvegarde et de continuité est prévue à la fin du mois de mars. La date de publication de l’arrêté constituera le point de départ à partir duquel les établissements éligibles pourront engager les travaux nécessaires permettant d’atteindre les objectifs de l’appel à financement.

Comme le rappelle, le rapport de la Cour des comptes a paru en janvier 2025 les efforts inédits mis en œuvre dans le cadre du programme CaRE doivent être poursuivis pour combler le sous-investissement historique dans la cybersécurité des établissements de santé. Ce nouvel élan de résilience et de cybersécurité devra en effet s’inscrire dans la durée. Face à des cybermenaces qui évoluent et changent de forme, les établissements devront pouvoir garantir des moyens pérennes pour s’adapter. C’est pourquoi des réflexions sont en cours pour mettre en œuvre un financement fléché et conditionné par l’amélioration continue des pratiques cyber et à l’augmentation des ressources propres des hôpitaux consacrées à la sécurité informatique.

Le 3 décembre 2022, le Centre hospitalier de Versailles, dans les Yvelines, subissait une cyberattaque touchant l’intégralité de son système d’information, qui a nécessité plusieurs mois pour un retour à un fonctionnement normal. Véritable symbole, malgré lui, des enjeux de cybersécurité dans le monde de la santé, l’établissement a, un an plus tard, accueilli Aurélien Rousseau et Jean-Noël Barrot, alors respectivement ministre de la Santé et de la Prévention, et ministre délégué chargé du Numérique. Le 18 décembre 2023, ils y ont officiellement lancé le programme national « Cybersécurité, accélération et résilience des établissements », dit CaRE. Prévu sur cinq ans (2023-2027), celui-ci est doté d’une enveloppe de 250 millions d’euros jusqu’en 2025, avec l’objectif de porter ce financement à un total de 750 millions d’euros d’ici à 2027. Pour les pouvoirs publics, l’ambition de ce « plan d’action » est double puisqu’il vise, à la fois, à « éviter que les attaques aboutissent » et à « permettre aux établissements de s’en relever le plus rapidement possible ». 

Divisé en quatre axes, le programme CaRE est issu des travaux de la Task Force cyber, mise en place à la demande du ministère des Solidarités et de la Santé en décembre 2022. Ce groupe de travail, coordonné par la Délégation au numérique en santé (DNS) et l’Agence du numérique en santé (ANS), rassemble plusieurs acteurs de la e-santé : le Fonctionnaire de sécurité des systèmes d’information (FSSI) des ministères sociaux, la Direction générale de l’offre de soins (DGOS), l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les Agences régionales de santé (ARS), les Groupements régionaux d’appui au déploiement de la e-santé (GRADeS), les fédérations hospitalières et médico-sociales, les représentants des Commissions médicales d’établissements (CME), les industriels… 

De ces différents travaux est née une feuille de route 2023-2027, articulée autour de quatre thèmes principaux : (1) la gouvernance et la résilience, (2) les ressources et la mutualisation, (3) la sensibilisation et (4) la sécurité opérationnelle. Le premier axe, qui entend donc favoriser la mise en place d’une gouvernance pérenne pour la cybersécurité en santé, et mieux préparer les structures hospitalières à faire face aux cybermenaces, vise notamment à « embarquer l'ensemble des établissements, et notamment les décideurs », a indiqué Élodie Chaudron, directrice de programme à l’ANS, lors d’un webinaire organisé le 11 janvier dernier pour présenter le programme CaRE. Notant que « la cybersécurité n'[était] pas seulement un sujet technique », elle a également insisté sur la nécessité d’intégrer cet enjeu « dans tous les projets de l'établissement et dans le choix des orientations budgétaires ». Pour justement favoriser cette dynamique vertueuse, plusieurs kits pratiques sont d’ailleurs déjà disponibles, dont trois kits d’exercices de crise cyber par niveau de maturité, quatre autres pour accompagner l’écriture des plans de continuité et de reprise d’activité (PCA-PRA) et un dernier kit destiné aux ARS pour organiser un exercice de crise régional (2).

Si les 2^ème et 3^ème axes du programme CaRE s’attèlent à des sujets aussi importants que « l’augmentation du nombre de personnels dédiés au système d’information dans les établissements », « la garantie, dans chaque établissement, d’un budget suffisant dédié au numérique et à la cybersécurité », « le développement d’une offre de services répondant aux besoins prioritaires des établissements » ou encore « la sensibilisation et la formation de l’ensemble du personnel des établissements », le dernier axe bénéficie, pour sa part, du budget le plus important, puisqu’il se concentre sur la sécurité opérationnelle des établissements de santé. 

« Ce 4^ème axe vise à rattraper le retard de nos établissements », a résumé Élodie Chaudron. Il recouvre, à cet égard, plusieurs domaines techniques, portant chacun sur une thématique centrale. Le premier volet, dit « Audits techniques Active Directory et exposition sur internet », dispose ainsi d’une enveloppe de 65 millions d’euros, financée sur des fonds Ségur. « Ce domaine a été identifié comme l'un des points vecteurs d'attaques », a souligné Christophe Mattler, directeur de projets en charge du pilotage CaRE à la DNS, lors d’un second webinaire qui, le 19 janvier dernier, s'est plus particulièrement concentré sur les attendus du domaine 1. Ouvert à tous les établissements de santé, publics comme privés, cet appel à financements a pour objectif de « mettre le pied à l’étrier pour les établissements de santé, afin qu’ils puissent rattraper leur retard sur les périmètres identifiés », a expliqué Élodie Chaudron, lors de cette même réunion. 

Centré sur la maîtrise de l’exposition sur internet et des annuaires Active Directory, le premier domaine ambitionne doncd’« élever le niveau général » sur ces deux thématiques. Les prérequis pour candidater sont d’ailleurs « assez restreints, et font appel à des prérequis déjà exposés dans le cadre du programme SUN-ES », a précisé Christophe Mattler en insistant sur la volonté de « faire monter le niveau général, et pas seulement celui de quelques établissements ». Les établissements de santé souhaitant prendre part à l’appel à financement devront se déclarer auprès des ARS entre le 1^er mars et 1^er avril 2024. Une fois les candidatures instruites par les ARS, les lauréats pourront s’engager dans la mise en œuvre opérationnelle. À l’issue du projet, et une fois les opérations de contrôle menées par l’ARS, une déclaration d’atteinte des objectifs pourra être effectuée sur un portail dédié. « L'ensemble des financements de rattrapage ne seront octroyés qu’à l’atteinte des objectifs fixés », a rappelé Élodie Chaudron. Suivant les dossiers, le versement effectif des subventions devrait donc survenir entre juin 2024 et juin 2025.  

Mais, s’il reste particulièrement important, notamment par l’ampleur de son enveloppe, le domaine 1 de l’axe 4 n’est pas le seul chantier lancé dans le cadre du programme CaRE au cours de l’année 2024. L’organisation de plusieurs exercices de crise – qui ont déjà démarré – est ainsi prévue dans tous les établissements sanitaires et dans toutes les régions, notamment celles accueillant des épreuves des Jeux olympiques de Paris. Une campagne de sensibilisation des directeurs généraux et des présidents de CME, ainsi qu’une animation des comités de RSSI, sont également attendues ces prochains mois. Quant aux autres domaines techniques de l’axe 4, ils sont déjà en cours de construction ou d’expérimentation avec, par exemple, un volet dédié à la « Stratégie de continuité et de reprise d’activité », et un autre à « l’identification électronique des professionnels - HospiConnect ».