Le programme CaRE vise à structurer la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux (ANSSI, ANS, DGOS), régionaux (ARS et GRADeS) et locaux (professionnels, établissements et aussi industriels) dans une trajectoire claire et unique, orchestrée par la Délégation au numérique en santé (DNS).
Les enjeux de cybersécurité et la gouvernance associée doivent être pris en compte par les établissements.
Ces derniers doivent pouvoir s’approprier, décliner et déployer le programme CaRE au cœur de leur projet d’établissement et le rendre visible au travers de leurs choix stratégiques et budgétaires.
Suite aux attaques, la plupart des établissements sont contraints d’œuvrer durant de longs mois pour retrouver leur niveau d’activité d’avant crise.
La résilience des établissements en cas d’incident cyber et/ou numérique, constitue par conséquent un axe majeur d’effort.

Le programme CaRE prend en compte la pénurie de talents et de ressources dans les établissements (ES et ESSMS) et met en exergue le besoin de s’arrêter sur l’adéquation, les compétences et la pérennisation des ressources humaines agissant dans le secteur numérique et de la cybersécurité.
Des travaux sur l’attractivité et la fidélisation des compétences sont en cours. Les réponses ne pouvant être immédiates, le programme s’appuie et favorise toutes les opportunités de convergence et de mutualisation en cherchant autant que possible à capitaliser et à embarquer l’ensemble des structures.
La Task Force s’attache à coordonner et mobiliser les acteurs de l’écosystème de manière unifiée et cohérente autour de l’ensemble des actions identifiées prioritaires et à forte valeur ajoutée.
Elle cherche à encourager le développement de l’offre de service cyber afin que chaque établissement, sans discrimination sur son type d’activité ou son lieu d’implantation, puisse bénéficier du service ou de l’accompagnement dont il a besoin pour répondre aux ambitions du programme CaRE et des évolutions réglementaires (NIS2).
Ces travaux sont réalisés sur la base du « catalogue des offres cyber » publié sur le site de l’ANS, qui collige plus de 400 offres proposées et diffusées par l’ANSSI, l’ANS, les GRADeS et les centrales d’achat (CAHPP, CAIH, RESAH), pour les établissements autour des thématiques : prévenir, contrôler, détecter, réagir et reconstruire. 

« La sécurité est l’affaire de tous », le programme nécessite donc un engagement fort de chacune des parties prenantes.

Pour cela, il est primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter.
Les directions d’établissement, en tant que décideurs, sont quant à elles garantes de la sensibilisation du personnel et de l’application des bonnes pratiques d’hygiène informatique au sein de leurs structures.

Pour soutenir cette dynamique, le programme s’attache à fournir les ressources pédagogiques nécessaires aux directions, aux RSSI et aux DSI. 

Les établissements de santé sont financés pour pallier leur dette technologique sur les domaines identifiés comme prioritaires. Un premier appel à financement dit pour le domaine « audits techniques exposition internet et annuaires techniques » (Domaine 1) est lancé.

Les prochains appels à financement suivront rapidement. Parmi les priorités déjà identifiées : « Poste de travail et détection » (Domaine 2), « Sécurisation des accès de télémaintenance » (Domaine 3).

Pour plus d'informations, veuillez consulter les documents de référence pour chaque domaine. Ces documents seront ajoutés progressivement, au fur et à mesure de leur disponibilité.