CyberNews

CaRE (Cybersécurité accélération et Résilience des Établissements) : Comprendre les enjeux et assurer sa conformité

Le programme CaRE, doté d’un budget de plus de 230 millions d’euros, marque un tournant décisif pour la cybersécurité des établissements de santé en France, et vise à revoir la façon dont ces derniers se défendent contre les menaces informatiques. L’objectif est clair : sortir d’une approche réactive pour bâtir une véritable résilience face aux cybermenaces.

By Victor GASTAUD
0

Le programme CaRE, doté d’un budget de plus de 230 millions d’euros, marque un tournant décisif pour la cybersécurité des établissements de santé en France, et vise à revoir la façon dont ces derniers se défendent contre les menaces informatiques. L’objectif est clair : sortir d’une approche réactive pour bâtir une véritable résilience face aux cybermenaces. Avec une explosion des attaques (+100 % depuis 2020), des infrastructures souvent vétustes et une fragmentation des responsabilités, il était impératif de structurer et d’accélérer la sécurisation du secteur.

Le programme s’étend jusqu’en 2027 et vise à transformer la cybersécurité des établissements de santé en France en s’appuyant sur quatre axes principaux : gouvernance et résilience, ressources et mutualisation, sensibilisation et sécurité opérationnelle.

En imposant une structure de gouvernance unifiée, l’initiative vise à intégrer la sécurité dans l’ADN des opérations de soins de santé. Mais la gouvernance doit amener à des résultats concrets, pragmatiques et opérationnels, et c’est là que le programme CaRE tire sa force.

Une dynamique de financement au service de la sécurisation des établissements

Le programme, lancé par le ministère de la santé et mené par l’Agence du Numérique en Santé (ANS), a été permis grâce à une mobilisation importante des acteurs sectoriels et terrains (DNS, l’ANSSI, ARS, les GRADeS,…). 

En 2024, deux premiers dispositifs de financement ont été mis en œuvre pour soutenir les établissements dans leur montée en maturité face aux risques cyber. Le premier, ouvert en mars 2024, a été doté d’une enveloppe de 65 millions d’euros et ciblait des vulnérabilités critiques des systèmes d’information hospitaliers. Il s’agissait principalement de l’exposition sur internet, qui reste l’un des vecteurs d’attaque les plus courants, et de l’annuaire technique (Active Directory), souvent délaissé et exploité par les attaquants pour étendre leur présence dans le réseau et maximiser l’impact des cyberattaques.

Le succès de ce premier volet de financement fût indéniable : 85 % des établissements éligibles ont candidaté, témoignant d’un engagement massif du secteur hospitalier dans le renforcement de leur cybersécurité. Cette forte mobilisation traduit une prise de conscience collective de l’urgence à sécuriser ses infrastructures critiques. Cependant, l’accès aux financements est conditionné à l’atteinte d’un premier niveau de sécurisation validé par une évaluation préalable, garantissant ainsi que les investissements s’inscrivent dans une dynamique d’amélioration continue et de résultats concrets.

Programme CaRE : Lancement de la seconde phase du programme (instruction DNS/2025/12 du 22 janvier 2025)

L’instruction gouvernementale DNS/2025/12, du 22 janvier 2025, en alignement avec le programme CaRE et la Directive NIS 1, impose désormais des exigences précises aux établissements de santé. La cybersécurité ne peut plus être une préoccupation secondaire gérée par des équipes IT sous pression : elle doit être intégrée à la gouvernance, aux stratégies de continuité et aux dispositifs qualité. Cette transformation repose sur sept actions prioritaires, qui définissent un cadre structuré pour atteindre les objectifs de résilience numérique.

Se mettre en conformité : Les actions essentielles

1. Organiser des exercices de crise cybersécurité

Avec pour mandat d’imposer des simulations régulières de crise cyber – la programme CaRE ayant fixé comme objectif que 80 % des établissements de santé réalisent un exercice de crise d’ici le second semestre 2024 – le programme inculque une culture de la préparation, transformant la cybersécurité d’une nécessité réactive en un pilier proactif de la résilience opérationnelle.

Chaque établissement doit organiser un exercice de crise cybersécurité au moins une fois par an et enregistrer son déroulement sur la plateforme nationale de suivi des systèmes d’information de santé. Le retour d’expérience doit être analysé et intégré dans le Plan d’Amélioration de la Qualité (PAQ), afin d’améliorer continuellement la capacité de réponse face aux incidents.

Organiser un exercice de crise
Nous contacter

2. S’auto-évaluer annuellement sur la maturité cyber

L’amélioration de la posture de sécurité repose sur une évaluation régulière des pratiques. Chaque établissement doit mesurer son niveau de conformité aux référentiels cyber prioritaires et déclarer annuellement son score sur la plateforme nationale de suivi des SI. Ce processus permet d’identifier les écarts critiques et de piloter efficacement les efforts de sécurisation.

3. Renforcer les audits de sécurité et la surveillance des accès

Les établissements doivent renforcer le contrôle de leurs infrastructures critiques en mettant en place :

  • Une inscription obligatoire au club SSI (ANSSI) et au service SILENE pour bénéficier des ressources et de l’expertise nationale.
  • Un audit trimestriel d’Active Directory (ADS), essentiel pour détecter et corriger les vulnérabilités qui facilitent les déplacements latéraux des attaquants.

Cette approche permet d’adopter des stratégies proactives de sécurisation et de réduire la surface d’attaque des établissements.

4. Déployer un Plan de Continuité et de Reprise d’Activité (PCA/PRA)

La capacité à restaurer rapidement les services critiques après une cyberattaque est un enjeu majeur. Chaque établissement doit :

  • Formaliser un PCA/PRA avant fin juin 2025 pour assurer la reprise rapide des opérations.
  • D’ici à juin 2026, réaliser un Bilan d’Impact sur l’Activité (BIA) pour les services critiques (Urgences, Chirurgie, etc.) et médico-techniques (pharmacie, imagerie, laboratoire).
  • Étendre ces BIA à l’ensemble des services de soins et administratifs d’ici juin 2027, en intégrant un PCRA global.

Ces mesures garantissent une résilience opérationnelle, même en cas d’attaque majeure.

Constituer une PCA/PRA
Nous contacter

5. Intégrer la cybersécurité dans la gestion des risques et la qualité

Les actions cybersécurité ne doivent plus être des initiatives isolées. Elles doivent être intégrées dans le Plan d’Amélioration de la Qualité (PAQ) de l’établissement et suivies de manière systématique. Cette exigence vise à assurer un pilotage efficace des risques et à ancrer durablement la cybersécurité dans la culture hospitalière.

Demander une analyse de risque
Nous contacter

La sensibilisation est un autre pilier essentiel du programme, et ce pour de bonnes raisons. Le phishing reste l’un des principaux vecteurs d’attaque, et les hôpitaux ont toujours été des cibles faciles en raison d’un manque de formation cohérente en matière de sécurité. Le programme CaRE exige que l’ensemble du personnel de santé, du personnel médical de première ligne aux employés administratifs, suive une formation à la cybersécurité dans le cadre de sa formation initiale et de son développement professionnel continu.

6. Sécuriser l’authentification et les accès aux systèmes d’information

Les hôpitaux doivent mettre en œuvre une trajectoire de sécurisation des Moyens d’Identification Électronique (MIE) des professionnels de santé, notamment par :

  • L’utilisation obligatoire d’une authentification forte à double facteur (2FA).
  • Le recours à des solutions comme Pro Santé Connect et aux standards eIDAS pour sécuriser les accès sensibles.

L’objectif est d’éliminer les accès non sécurisés et de garantir une gestion rigoureuse des identités et des habilitations.

7. Déclarer la part du budget dédiée au numérique et à la cybersécurité

Au cœur de cette initiative, l’accent est mis sur l’allocation des ressources et la modernisation technologique. Les établissements de santé sont désormais tenus de consacrer au moins 2 % de leur budget global à la cybersécurité et au numérique, une directive conçue pour moderniser l’infrastructure, mettre à niveau les systèmes obsolètes et renforcer les défenses grâce à des capacités avancées de détection des menaces, telles que la surveillance continue et les architectures « Zero Trust ». 

Cette exigence vise à assurer un financement stable et à éviter que la cybersécurité ne soit reléguée au second plan dans les arbitrages budgétaires.

Vers une mise en conformité réussie

Le programme CaRE ne laisse plus de place aux approches improvisées ou aux mesures ponctuelles. La cybersécurité devient un pilier central de la gouvernance hospitalière, et la mise en conformité est un levier stratégique pour assurer la résilience face aux cyberattaques.

Les RSSI et DSI ont désormais une feuille de route claire pour structurer leurs efforts.Cette transformation ne doit pas être perçue comme une contrainte réglementaire supplémentaire, mais bien comme une opportunité de renforcer la robustesse du secteur face à des menaces de plus en plus sophistiquées. La protection des patients, la continuité des soins et la sécurisation des infrastructures numériques sont en jeu – et la mise en œuvre du programme CaRE en est la clé.

Continue Reading
More
Cybersécurité

CVE Mai 2024

CyberNews

CyberNews Mai 2024

CyberNews

CyberNews Avril 2024

CyberNews

CyberNews Mars 2024

Comment

Your email address will not be published.

Articles

CVE Mai 2024

CyberNews Mai 2024

CyberNews Avril 2024

1 of 4