Programme CaRE Domaine 2 : 5 points sur la nouvelle exigence de cybersécurité pour les établissements de santé

Introduction

La cybersécurité n'est plus un sujet lointain pour le secteur de la santé en France ; c'est une urgence opérationnelle. Depuis 2020, le nombre d'incidents a quadruplé, et le secteur de la santé concentre désormais 10 % de toutes les cyberattaques sur le territoire national. Ces attaques ne visent pas seulement des données, elles menacent directement la continuité et la sécurité des soins.

Face à cette menace croissante, les pouvoirs publics ont lancé le programme CaRE (Cybersécurité et Résilience des Établissements), dont le Domaine 2 se concentre spécifiquement sur la "Stratégie de continuité et de reprise d’activité".

Loin d'être une simple contrainte réglementaire de plus, ce programme représente une initiative structurante, financée, visant à doter les établissements d'une résilience réelle et éprouvée face aux crises.

Cet article a pour but de décrypter le guide officiel du programme et d'en extraire les cinq informations les plus marquantes. Ces points clés, souvent sous-estimés, sont pourtant essentiels pour comprendre la véritable portée de ces nouvelles exigences et transformer cette obligation en une opportunité de modernisation.

1. La Menace est bien plus concrète et directe que vous ne l'imaginez

Le programme CaRE ne répond pas à des risques abstraits, mais à une réalité alarmante et en pleine accélération. Avec une augmentation de 30 % des attaques signalées en 2024, totalisant des centaines d'incidents, la menace est devenue une préoccupation quotidienne. Cette accélération fulgurante explique pourquoi le programme CaRE n'est pas une simple mise à jour technique, mais une refonte fondamentale de l'approche de la résilience.

La conséquence la plus grave de ces incidents est leur impact direct et immédiat sur la prise en charge des patients. Comme le souligne l'analyse du contexte national :

Ces attaques brisent la continuité des soins, exposent les patients à des risques directs et dégradent la confiance envers les établissements.

C'est précisément pour cette raison que le programme met un accent si fort sur la disponibilité du Système d'Information Hospitalier (SIH). Celui-ci conditionne directement la qualité et la sécurité des soins.

2. Ce n'est pas un projet IT, c'est un projet de gouvernance d'établissement

L'une des plus importantes information du programme est que la résilience cyber n'est plus la seule responsabilité du département informatique. L'objectif D2.O1 impose d'intégrer pleinement la stratégie de continuité et de reprise d'activité (PCA/PRA) dans la gouvernance globale de l'établissement.

Concrètement, cela signifie que le schéma de gouvernance de la continuité doit être formellement signé par la direction de l'établissement et validé par une instance stratégique comme un CODIR (Comité de Direction) ou un COSTRAT (Comité Stratégique). Le programme exige un portage au plus haut niveau.

De plus, l'objectif D2.O1.C impose une portée opérationnelle très large. Un Bilan d'Impact sur l'Activité (BIA) et un plan de continuité sont obligatoires pour un périmètre minimal comprenant :

• Un service de soins ayant un impact majeur sur la prise en charge du patient.

• Un plateau technique en lien avec le parcours de soins (pharmacie, imagerie, biologie).

• Le processus administratif le plus critique (par exemple la paie, la comptabilité).

  
  

En ciblant un service de soins, un plateau technique et un processus administratif, le programme impose une vision à 360° de la résilience, reconnaissant que la rupture d'un processus de paie peut être aussi déstabilisante pour l'établissement qu'une panne de l'imagerie. La résilience devient une responsabilité partagée, et non plus une simple tâche technique.

3. Vos sauvegardes actuelles sont-elles vraiment utiles ? L'exigence de l'immuabilité

C'est peut-être la révélation la plus forte du programme CaRE : la plupart des stratégies de sauvegarde traditionnelles sont devenues obsolètes face aux ransomwares modernes. Pour y répondre, le programme impose une exigence : l'immuabilité.

L'objectif D2.O3.C n'exige pas une conformité immédiate, mais demande aux établissements de "s’inscrire dans une trajectoire pour la mise en œuvre du 3-2-1" avec des jalons clairs. Au cœur de cette trajectoire se trouve l'immuabilité. Selon la définition du guide, une sauvegarde immuable est une copie dont le contenu ne peut être ni modifié ni supprimé pendant une période définie, une protection garantie par la technologie et non par une simple procédure.

Pourquoi cette exigence est-elle si critique ? Parce qu'une copie immuable est la dernière ligne de défense lorsqu'un attaquant a compromis l'ensemble du réseau, y compris les systèmes de sauvegarde standards. C'est la garantie de pouvoir restaurer des données saines après une attaque.

4. Un plan sur papier ne suffit pas : l'obligation de tester en conditions réelles

Le programme CaRE met fin à l'ère des plans de continuité qui restent dans un tiroir. La preuve de la résilience ne se trouve pas dans la documentation, mais dans sa capacité à être mise en œuvre efficacement en cas de crise. Pour cela, le programme exige une double validation.

D'une part, l'« exercice terrain » (Objectif D2.O1.D) teste la résilience humaine et organisationnelle. Il s'agit de simuler l'indisponibilité d'une ressource critique et de vérifier la réponse au niveau opérationnel, au sein même des services de soins.

D'autre part, les tests techniques (Objectif D2.O4) valident que la technologie de restauration fonctionne comme prévu en s'assurant que les données peuvent être restaurées et les systèmes redémarrés. L'un sans l'autre ne garantit rien.

Enfin, chaque exercice terrain doit être suivi d'un rapport de "Retour d'Expérience" (RETEX) formel incluant un plan d'amélioration. Cette exigence montre que l'objectif n'est pas une simple case à cocher, mais l'instauration d'un cycle d'amélioration continue pour renforcer la résilience sur le long terme.

5. Le financement va bien au-delà du logiciel : il couvre aussi les ressources humaines et le matériel

Une question légitime face à de telles exigences est : comment financer ces transformations ? Le programme apporte une réponse claire et très encourageante. Le financement peut couvrir jusqu'à 70 % des dépenses éligibles, avec un plafond de 400 000 € par entité juridique.

Surtout, la nature des dépenses éligibles est bien plus large qu'on ne pourrait le penser. Selon le guide officiel (Section 3, "Eligibilité des dépenses"), le financement couvre :

• Le recours à des prestataires externes pour l'accompagnement ou la mise en œuvre.

• L'acquisition de nouveau matériel pour construire un système de sauvegarde sécurisé.

• Les coûts liés à la mobilisation des ressources humaines internes, à condition qu'ils soient justifiés.

  
  

Cependant, un point crucial est précisé : les subventions doivent nécessairement couvrir des dépenses nouvelles. Cette large éligibilité est un signal fort : l'État fournit les moyens d'investir de manière complète dans les trois piliers de la résilience – les personnes, les processus et la technologie – et pas seulement de financer l'existant.

Conclusion

En somme, le programme CaRE Domaine 2 acte un changement de paradigme : la résilience n'est plus un projet technique cantonné à la DSI, mais une responsabilité de gouvernance ; les sauvegardes ne sont plus de simples copies, mais une dernière ligne de défense immuable ; et les plans ne sont plus des documents, mais des stratégies éprouvées sur le terrain.

Avec un financement significatif disponible pour un large éventail de dépenses nouvelles, ce programme représente une opportunité unique de moderniser les infrastructures, de renforcer les compétences et de sécuriser durablement la mission première des hôpitaux.