Publié le 16/01/2026
Programme CaRE : Cybersécurité, Accélération et Résilience des Établissements
Face à la recrudescence des cyberattaques dans le secteur de la santé, le programme CaRE, porté par la Délégation au Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS), s’impose comme une réponse stratégique et opérationnelle. En Centre-Val de Loire, ce programme est déployé en synergie avec l’ARS Centre-Val de Loire, le GRADeS Centre-Val de loire et son Centre Régional de Ressources Cybersécurité (CRRC), pour accompagner les établissements sanitaires et médico-sociaux dans leur montée en maturité cyber.
Objectifs du programme
Le programme CaRE vise à :
- Prévenir les cyberattaques en renforçant les dispositifs de sécurité.
- Améliorer la résilience des systèmes d’information pour garantir la continuité des soins.
Doté d’un budget national de 750 millions d’euros jusqu’en 2027, CaRE finance des actions concrètes pour rattraper les retards techniques et organisationnels en cybersécurité.
Le programme se décline en 4 axes
Gouvernance et résilience : structuration d’une gouvernance cyber à tous les niveaux.
Ressources et mutualisation : développement de services partagés et renforcement des compétences.
Sensibilisation : acculturation des professionnels aux enjeux cyber.
Sécurité opérationnelle : détection, remédiation et reprise d’activité.
4 domaines d’intervention ouverts au financement
Les établissements peuvent candidater via la plateforme eCaRE pour financer des actions dans les domaines suivants :
Domaine 1
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur Internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur internet.
Le « Domaine 1 » du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé. L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le "Domaine 1" vise à :
- Atteindre un premier niveau de remédiation de l'exposition sur Internet ;
- Atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- Se préparer au risque d’une cyberattaque ;
- S’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- Prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Candidatures closes depuis le 19 avril 2024.
Domaine 2 - Stratégie de continuité et de reprise d’activité (PCA/PRA)
L’arrêté du 3 juillet 2025 marque le lancement du Domaine 2 « Stratégie de continuité et de Reprise d’activité ». Son objectif est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Il s’adresse aux établissements sanitaires publics et privés. Un dispositif complémentaire pour le secteur médico-social est prévu d’ici fin 2025.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des établissements de santé (ES), mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
Il est essentiel de remplir les conditions suivantes avant de pouvoir déposer votre candidature :
- Disposer d’une Politique de Sécurité des Systèmes d’Information (PSSI) formalisée et validée / revue dans les 36 mois précédant la date de publication de l’arrêté ;
- Décrire l’organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d’Activité pour assurer la construction et son maintien dans le temps.
Candidatures closes depuis le 31 octobre 2025.
Pour en savoir plus
- Arrêté du 3 juillet 2025 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Stratégie de continuité et de reprise d'activité » - Légifrance
- D2 - Base des ES éligibles | Agence du Numérique en Santé
- Guide des prérequis et objectifs du Domaine 2 | Programme CaRE
- Glossaire du Domaine 2
- Kit ANS – Atelier PCRA service soins
- Webinaire – Programme CaRE – Domaine 2 Stratégie de continuité et reprise d’activité (22 juillet 2025)
- Fiche_instruction_prérequis_objectifs_ES
Calendrier de mise en œuvre du Domaine 2
| Date | Description |
| 3 juillet 2025 | Arrêté relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Stratégie de continuité et de reprise d’activité » Date à partir de laquelle les établissements éligibles peuvent engager des travaux permettant d’atteindre les objectifs de l’appel à financement |
| 2 septembre 2025 | Ouverture du guichet des candidatures permettant aux ES disposant des prérequis de candidater sur la plateforme Convergence – eCaRE en utilisant le compte de la personne étant habilité à représenter l’établissement candidat |
| 31 octobre 2025 | Fermeture du guichet des candidatures |
| 16 janvier 2026 | Ouverture du portail de déclaration d’atteinte des objectifs |
| 16 février 2026 | Ouverture du guichet de paiement |
| 18 novembre 2026 | Fermeture du portail de déclaration d’atteinte des objectifs |
| 30 juin 2027 | Fermeture guichet de paiement |
Domaine 3 - Sécurisation des accès distants
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera fin d'année 2025/début d’année 2026.
Domaine 4 - Supervision des postes de travail
L'ouverture du domaine se fera courant d'année 2026.
