Le Programme CaRE : Sécuriser l'Hôpital de Demain

Écran d'ordinateur de bureau affichant le Programme CaRE pour sécuriser l'hôpital face aux cybermenaces, dans un environnement informatique de serveurs d'hébergement.

En août 2022, le centre hospitalier de Corbeil-Essonnes est paralysé en pleine nuit par un rançongiciel. Des nouveau-nés sont transférés en urgence, des automates de laboratoire tombent, la rançon réclamée atteint 10 millions de dollars. Trois mois plus tard, Versailles subit le même sort. Ces deux crises consécutives forcent une prise de conscience nationale et aboutissent, en décembre 2023, au lancement du programme CaRE (Cybersécurité, Accélération et Résilience des Établissements). Un plan de 750 millions d'euros pour que l'hôpital arrête de subir.

Lexique

Rançongiciel : logiciel malveillant qui chiffre les données et réclame une rançon pour les restituer. | Active Directory : annuaire technique gérant les comptes d'accès d'un établissement, cible prioritaire des attaquants. | PCA / PRA : Plans de Continuité et de Reprise d'Activité, les protocoles qui permettent à un hôpital de fonctionner et de se rétablir après une crise. | CERT Santé : cellule nationale de réponse aux incidents cyber dans le secteur de la santé.

Un secteur sous-protégé face à une menace en accélération

La numérisation des hôpitaux s'est accélérée avec le Ségur numérique, sans que les budgets de sécurité suivent. Résultat : des systèmes exposés, des annuaires mal configurés, des sauvegardes accessibles depuis le réseau principal, c'est-à-dire chiffrables en même temps que le reste lors d'une attaque. Les cybercriminels l'ont compris : la pression de soigner crée une incitation immédiate à payer.

11,4 % des incidents traités par l'ANSSI en 2023 visaient la santé, contre 2,8 % en 2020 ANSSI
30 établissements de santé touchés par des rançongiciels entre 2022 et 2023 ANSSI
7 M€ coût de reconstruction du système informatique du CH de Corbeil-Essonnes après l'attaque de 2022 SFR Business

Ce qu'est le programme CaRE

Présenté le 18 décembre 2023 par les ministres de la Santé et du Numérique au chevet du CH de Versailles, CaRE est un plan d'action national piloté par l'Agence du Numérique en Santé (ANS), en lien avec la DNS, l'ANSSI, les ARS et les GRADeS. Il court de 2023 à 2027 avec une enveloppe cible de 750 millions d'euros. Son double objectif : éviter que les attaques aboutissent, et permettre aux établissements de s'en relever rapidement quand elles surviennent malgré tout.

Ce que dit la Cour des comptes (janvier 2025) : les efforts de CaRE sont inédits, mais ils doivent s'inscrire dans la durée pour combler un sous-investissement historique. Des réflexions sont en cours pour conditionner les financements futurs à une augmentation pérenne des ressources cyber propres des hôpitaux.

Les domaines de financement

CaRE déploie son enveloppe par domaines successifs. Les établissements ne sont financés qu'à l'atteinte d'objectifs mesurés, une logique de résultat, pas de simple déclaration d'intention.

D1

Annuaires techniques et exposition internet — 65 M€

Ouvert en mars 2024, ce premier volet ciblait l'Active Directory et les services exposés sur internet. 85 % des établissements éligibles ont candidaté. Clôturé le 30 juin 2025.

D2

Continuité et reprise d'activité — lancé juillet 2025

Finance la mise en place de sauvegardes non contaminables et de plans de reprise pour toutes les applications critiques. Les rançongiciels ciblent aussi les copies, ce domaine s'attaque directement à ce risque.

D3

Accès distants sécurisés — en préparation

Les fournisseurs et prestataires représentent une surface d'attaque souvent négligée. Ce domaine vise à fermer ces "portes ouvertes", télémaintenance et accès du personnel inclus.

Premiers résultats

Moins d'un an après le lancement du Domaine 1, les indicateurs montrent une inflexion réelle et mesurable sur le terrain.

Vulnérabilités Active Directory sur +1 000 établissements audités · mai 2024 → fév. 2025 ANS
Avant
75 %
Après
55 % −20 pts
Exposition internet critique août 2024 → jan. 2025 ANS
Avant
80 %
Après
45 % −35 pts
100 % des régions ont réalisé ou planifié leur exercice de crise cyber en 2024 ANS
4 / 40 incidents rançongiciel ont conduit à une compromission majeure en 2024 — les 36 autres ont été contenus ANS

Ce que CaRE ne résout pas

Le programme est ambitieux et ses résultats sont réels. Mais plusieurs obstacles structurels dépassent le cadre d'un plan de financement.

La pénurie de compétences : les hôpitaux peinent à recruter et fidéliser des profils SSI qualifiés. CaRE encourage la mutualisation dans les GHT, mais la pénurie nationale de compétences reste une contrainte de fond qu'aucun budget ne résorbe seul.
Les dispositifs médicaux connectés : pompes à insuline, imagerie, moniteurs, ces équipements tournent souvent sur des systèmes obsolètes, difficiles à isoler du réseau sans interrompre les soins. L'ANSSI a signalé des vulnérabilités sur des pompes Medtronic dès 2022. CaRE n'adresse pas directement ce périmètre.

FAQ – Questions fréquentes

Quelle est la différence entre CaRE et les plans cyber précédents ?

CaRE est le premier plan conditionné à des résultats mesurés.
Les financements antérieurs étaient souvent alloués sur déclaration d'intention. CaRE ne verse les fonds qu'après audit technique confirmant l'atteinte d'un niveau de sécurisation. C'est une rupture de logique : on finance ce qui a été fait, pas ce qui est prévu.

Mon établissement est-il éligible ?

Dans la grande majorité des cas, oui.
Le programme s'adresse aux établissements sanitaires publics et privés (CH, CHU, GHT, cliniques) ainsi qu'aux structures médico-sociales. L'éligibilité varie selon les domaines. Votre ARS ou GRADeS régional peut vous accompagner pour le vérifier et constituer votre dossier sur la plateforme Convergence-eCaRE.

Que se passe-t-il si un établissement subit une attaque pendant le programme ?

Le CERT Santé intervient en soutien immédiat.
La cellule nationale de réponse aux incidents cyber dans le secteur de la santé peut être mobilisée 24h/24. Les établissements ayant déjà engagé leur démarche CaRE bénéficient en parallèle d'une meilleure capacité de reprise grâce aux sauvegardes sécurisées et aux PCA/PRA formalisés dans le cadre du Domaine 2.

CaRE couvre-t-il aussi les données patients ?

Indirectement, oui.
En sécurisant les accès et les annuaires techniques, CaRE réduit la capacité des attaquants à exfiltrer des données. Il ne se substitue pas aux obligations RGPD ni aux exigences HDS, mais la certification HAS intègre désormais des critères cyber obligatoires qui couvrent en partie cet enjeu.

Sæpiens - Accompagnement Programme CaRE

Accélérez votre conformité au programme CaRE :
sécurisez votre hôpital avec Sæpiens.

Face à l'explosion alarmante des ransomwares ciblant le secteur de la santé, les exigences de l'ANS et de la directive NIS2 imposent un renforcement drastique de vos défenses. De l'audit de votre Active Directory à la mise en œuvre opérationnelle de vos plans de reprise (PCA/PRA), Sæpiens vous apporte une parade globale, souveraine et hautement sécurisée : infrastructures réseaux résilientes (SD-WAN, SASE), contrôle strict des accès (ZTNA) et protection avancée de vos flottes de terminaux.

Votre système d'information hospitalier est-il prêt à atteindre les indicateurs de maturité fixés par l'État ?

ÉVALUER MA CONFORMITÉ
Partager LinkedIn