CaRE² D² : Levier stratégique pour la résilience des établissements de santé

Cybersécurité en santé : un impératif, une réponse nationale

Programme CaRE (Cybersécurité, accélération et Résilience des Établissements)

En 2023, le secteur de la santé a subi 581 incidents malveillants, avec des conséquences dramatiques : des coûts de remédiation pouvant atteindre 2 millions d’euros par incident, des interruptions de soins, et une pression insoutenable sur les équipes soignantes. Face à cette menace grandissante, le programme CaRE (Cybersécurité, accélération et Résilience des Établissements), lancé en décembre 2023 par le ministère de la Santé et du Numérique, incarne une réponse ambitieuse et concrète.

Doté d’un budget de 250 millions d’euros jusqu’en 2025 (et un objectif de 750 millions d’euros d’ici 2027), CaRE vise à renforcer la cybersécurité et la résilience des établissements de santé (ES) et médico-sociaux (ESMS). Au cœur de ce dispositif, le Domaine 2 (D2), centré sur les Plans de Continuité et de Reprise d’Activité (PCRA), joue un rôle clé. Il ne s’agit pas seulement de protéger les systèmes d’information, mais de garantir la continuité des activités critiques en cas de crise — qu’il s’agisse d’une cyberattaque, d’une panne majeure ou d’une catastrophe naturelle.

L’enjeu ? Assurer une reprise rapide des activités, et dans un premier temps la reprise rapide de l’informatique, grâce à des sauvegardes sécurisées, des processus métiers robustes, et une organisation adaptée.

Objectifs clés :

  • Maintenir les activités critiques en cas d’incident.
  • Répondre aux exigences réglementaires (PSSI, PCA/PRA, sauvegardes).
  • Accéder à des financements publics pour renforcer la cybersécurité.
  • Renforcer la confiance des patients et des autorités de tutelle.

Pour les Directeurs des Systèmes d’Information (DSI), le programme CaRE2 D2 c’est une posture de résilience indispensable.

Les 4 éléments clés du programme :

  • Structurer la gouvernance de la continuité et de la reprise d’activité.
  • Formaliser des plans PCA/PRA adaptés aux spécificités de leur établissement.
  • Sécuriser les infrastructures de sauvegarde selon les meilleures pratiques (règle 3-2-1, cloisonnement, authentification renforcée).
  • Tester et valider les plans de reprise pour garantir leur efficacité en situation réelle.

Les prérequis : une démarche proactive et documentée.

Pour candidater, les établissements doivent :

  • Disposer d’une Politique de Sécurité des Systèmes d’Information (PSSI)
    formalisée et à jour.
  • Décrire l’organisation projet pour la mise en œuvre du PCRA, incluant la constitution d’une équipe projet et d’une gouvernance dédiée.

Pour aller plus loin : Ressources ANS sur la cybersécurité

Une méthodologie globale pour une résilience efficace

La mise en œuvre du programme CaRE2 D2 repose sur une approche structurée en quatre étapes :

Diagnostic et gouvernance

  • État des lieux des activités critiques et des risques.
  • Définition d’une gouvernance dédiée à la continuité et à la reprise d’activité.

Rédaction des plans et procédures

  • Formalisation des PCA, PRA et PSSI.
  • Documentation des BIA (Bilan d’Impact sur l’Activité) et SCA (Stratégie de Continuité d’Activité).

Mise en œuvre technique

  • Sauvegardes sécurisées (respect de la règle 3-2-1, cloisonnement, authentification renforcée) — En savoir plus sur la règle 3-2-1-1-0.
  • Supervision et tests réguliers des sauvegardes et des plans de reprise.

Maintien en conditions opérationnelles (MCO)

  • Tests terrain des PCA.
  • Formation et sensibilisation des équipes.
Contacter un expert Santé

Agir aujourd’hui pour protéger demain

Le programme CaRE2 D2 n’est pas qu’une opportunité de financement : c’est un levier stratégique pour transformer la résilience des établissements de santé en une réalité tangible. Dans un contexte où les cybermenaces ne cessent de croître, anticiper, structurer et tester ses plans de continuité n’est plus une option, mais une nécessité.

Contacter un expert Santé