- 03/07/2026
Le Programme CaRE : Sécuriser l'Hôpital de Demain
- Par Maéva MARMIN
- 10 min
- ACTUALITE & TENDANCES
En août 2022, le centre hospitalier de Corbeil-Essonnes est paralysé en pleine nuit par un rançongiciel. Des nouveau-nés sont transférés en urgence, des automates de laboratoire tombent, la rançon réclamée atteint 10 millions de dollars. Trois mois plus tard, Versailles subit le même sort. Ces deux crises consécutives forcent une prise de conscience nationale et aboutissent, en décembre 2023, au lancement du programme CaRE (Cybersécurité, Accélération et Résilience des Établissements). Un plan de 750 millions d'euros pour que l'hôpital arrête de subir.
Rançongiciel : logiciel malveillant qui chiffre les données et réclame une rançon pour les restituer. | Active Directory : annuaire technique gérant les comptes d'accès d'un établissement, cible prioritaire des attaquants. | PCA / PRA : Plans de Continuité et de Reprise d'Activité, les protocoles qui permettent à un hôpital de fonctionner et de se rétablir après une crise. | CERT Santé : cellule nationale de réponse aux incidents cyber dans le secteur de la santé.
Un secteur sous-protégé face à une menace en accélération
La numérisation des hôpitaux s'est accélérée avec le Ségur numérique, sans que les budgets de sécurité suivent. Résultat : des systèmes exposés, des annuaires mal configurés, des sauvegardes accessibles depuis le réseau principal, c'est-à-dire chiffrables en même temps que le reste lors d'une attaque. Les cybercriminels l'ont compris : la pression de soigner crée une incitation immédiate à payer.
Ce qu'est le programme CaRE
Présenté le 18 décembre 2023 par les ministres de la Santé et du Numérique au chevet du CH de Versailles, CaRE est un plan d'action national piloté par l'Agence du Numérique en Santé (ANS), en lien avec la DNS, l'ANSSI, les ARS et les GRADeS. Il court de 2023 à 2027 avec une enveloppe cible de 750 millions d'euros. Son double objectif : éviter que les attaques aboutissent, et permettre aux établissements de s'en relever rapidement quand elles surviennent malgré tout.
Les domaines de financement
CaRE déploie son enveloppe par domaines successifs. Les établissements ne sont financés qu'à l'atteinte d'objectifs mesurés, une logique de résultat, pas de simple déclaration d'intention.
Annuaires techniques et exposition internet — 65 M€
Ouvert en mars 2024, ce premier volet ciblait l'Active Directory et les services exposés sur internet. 85 % des établissements éligibles ont candidaté. Clôturé le 30 juin 2025.
Continuité et reprise d'activité — lancé juillet 2025
Finance la mise en place de sauvegardes non contaminables et de plans de reprise pour toutes les applications critiques. Les rançongiciels ciblent aussi les copies, ce domaine s'attaque directement à ce risque.
Accès distants sécurisés — en préparation
Les fournisseurs et prestataires représentent une surface d'attaque souvent négligée. Ce domaine vise à fermer ces "portes ouvertes", télémaintenance et accès du personnel inclus.
Premiers résultats
Moins d'un an après le lancement du Domaine 1, les indicateurs montrent une inflexion réelle et mesurable sur le terrain.
Ce que CaRE ne résout pas
Le programme est ambitieux et ses résultats sont réels. Mais plusieurs obstacles structurels dépassent le cadre d'un plan de financement.
FAQ – Questions fréquentes
Quelle est la différence entre CaRE et les plans cyber précédents ?
CaRE est le premier plan conditionné à des résultats mesurés.
Les financements antérieurs étaient souvent alloués sur déclaration d'intention. CaRE ne verse les fonds qu'après audit technique confirmant l'atteinte d'un niveau de sécurisation. C'est une rupture de logique : on finance ce qui a été fait, pas ce qui est prévu.
Mon établissement est-il éligible ?
Dans la grande majorité des cas, oui.
Le programme s'adresse aux établissements sanitaires publics et privés (CH, CHU, GHT, cliniques) ainsi qu'aux structures médico-sociales. L'éligibilité varie selon les domaines. Votre ARS ou GRADeS régional peut vous accompagner pour le vérifier et constituer votre dossier sur la plateforme Convergence-eCaRE.
Que se passe-t-il si un établissement subit une attaque pendant le programme ?
Le CERT Santé intervient en soutien immédiat.
La cellule nationale de réponse aux incidents cyber dans le secteur de la santé peut être mobilisée 24h/24. Les établissements ayant déjà engagé leur démarche CaRE bénéficient en parallèle d'une meilleure capacité de reprise grâce aux sauvegardes sécurisées et aux PCA/PRA formalisés dans le cadre du Domaine 2.
CaRE couvre-t-il aussi les données patients ?
Indirectement, oui.
En sécurisant les accès et les annuaires techniques, CaRE réduit la capacité des attaquants à exfiltrer des données. Il ne se substitue pas aux obligations RGPD ni aux exigences HDS, mais la certification HAS intègre désormais des critères cyber obligatoires qui couvrent en partie cet enjeu.
Accélérez votre conformité au programme CaRE :
sécurisez votre hôpital avec Sæpiens.
Face à l'explosion alarmante des ransomwares ciblant le secteur de la santé, les exigences de l'ANS et de la directive NIS2 imposent un renforcement drastique de vos défenses. De l'audit de votre Active Directory à la mise en œuvre opérationnelle de vos plans de reprise (PCA/PRA), Sæpiens vous apporte une parade globale, souveraine et hautement sécurisée : infrastructures réseaux résilientes (SD-WAN, SASE), contrôle strict des accès (ZTNA) et protection avancée de vos flottes de terminaux.
Votre système d'information hospitalier est-il prêt à atteindre les indicateurs de maturité fixés par l'État ?
ÉVALUER MA CONFORMITÉ