Programme CaRE : réussir sa mise en conformité avant 2027

En quelques années, le secteur de la santé est devenu l’une des cibles privilégiées des cyberattaquants. Rançongiciels, exfiltration de données patients, blocages de systèmes d’information : chaque incident se traduit par des soins dégradés, des activités à l’arrêt et une confiance entamée.

Face à la pression des cyberattaques, l’État a haussé le niveau d’exigence.

Certifications, déclarations annuelles de maturité, mesures prioritaires à mettre en œuvre : la contrainte réglementaire n’est plus une perspective lointaine, c’est un calendrier qui court.

C’est dans ce contexte qu’intervient le programme CaRE (Cybersécurité, Accélération et Résilience des Établissements).

Ambitieux, structurant, doté de financements inédits, il vise à hisser durablement le niveau de sécurité des établissements sanitaires, sociaux et médico-sociaux. Sur le papier, l’intention est claire. Sur le terrain, la réalité l’est beaucoup moins.

Le problème de la majorité des DSI et RSSI n’est pas de comprendre qu’il faut agir.

C’est de savoir par où commencer, dans quel ordre, et avec quels moyens.
Entre un SI hérité de décennies d’investissements successifs, des équipes déjà sous tension et des chantiers techniques qui se chevauchent, l’écart entre l’objectif réglementaire et la capacité d’exécution se creuse vite.

C’est précisément cet écart que cet article entend combler.

Comprendre ce qu’est réellement CaRE, identifier pourquoi tant d’établissements peinent à avancer, mesurer les risques concrets de l’attentisme, et surtout découvrir comment transformer une contrainte de conformité en véritable opportunité de modernisation. Bien accompagné, CaRE n’est pas une charge de plus : c’est un levier stratégique pour sécuriser, moderniser et fiabiliser votre système d’information.

Quels sont les établissements concernés par le programme CaRE ?

▶ Les établissements publics (notamment les secteurs sensibles) ;
▶ Les structures opérant des services essentiels ;
▶ Les organisations disposant de systèmes d’information critiques ou exposés.

Ces acteurs doivent démontrer leur capacité à :

▶ Identifier leurs risques ;
▶ Mettre en œuvre des mesures de protection adaptées ;
▶ Piloter leur démarche et stratégie de cybersécurité ainsi que la résilience des établissements, dans la durée.

Petit rappel : voici le programme CaRE, un cadre ambitieux pour renforcer la cybersécurité des établissements publics

Le programme CaRE ne se limite pas à des recommandations.

Lancé fin 2023, il déploie un plan d’action national sur la période 2023-2027 et introduit un niveau d’exigence élevé autour de plusieurs piliers.

▶ 1 – Gouvernance de la cybersécurité
Formalisation des responsabilités, pilotage stratégique et opérationnel, suivi des indicateurs de sécurité.

▶ 2 – Maîtrise des risques
Cartographie des SI et des risques, analyse d’impact, plan de traitement.

▶ 3 – Mise en œuvre des mesures de sécurité
Protection des accès, segmentation des réseaux, gestion des vulnérabilités, supervision et détection.

▶ 4 – Capacité de réaction
Gestion rapide des incidents, plan de reprise d’activité, exercices de crise.

En pratique, les établissements doivent démontrer un niveau de maturité réel, documenté et mesurable.

Détail du dispositif mis en place pour atteindre les objectifs de mise en conformité.

Pour y parvenir, l’effort financier est considérable.

Le programme est doté d’une enveloppe de 750 millions d’euros à l’horizon 2027 dont une première tranche de 250 millions a été engagée jusqu’en 2025.

Ces financements ne sont pas distribués de façon automatique.

Ils sont octroyés via des appels à financement successifs, puis conditionnés à l’atteinte concrète des objectifs fixés – ce qui impose donc une démarche structurée du côté des établissements.

Le pilotage est assuré par la Délégation au Numérique en Santé (DNS) et l’Agence du Numérique en Santé (ANS).

Ceci en lien étroit avec l’ANSSI, la DGOS, les Agences Régionales de Santé (ARS) et les Groupements Régionaux d’Appui au Déploiement de la e-santé (GRADeS). Sur le terrain, un réseau de Centres Régionaux de Ressources Cybersécurité (CRRC) accompagne les structures dans leur montée en maturité.

Concrètement, la feuille de route s’organise autour de quatre grands axes

La gouvernance et la résilience, les ressources et la mutualisation, la sensibilisation, et enfin la sécurité opérationnelle.

Ce dernier volet se décline en domaines techniques prioritaires — exposition sur Internet, sécurisation de l’Active Directory, postes de travail et détection, télémaintenance, continuité d’activité et sauvegarde.

À cela s’ajoutent des obligations désormais bien ancrées :

▶ Déclarer chaque année son niveau de maturité ;

▶ Intégrer la cybersécurité dans la certification HAS ;

▶ S’inscrire dans les dispositifs nationaux d’appui.

Autrement dit, CaRE ne saurait se limiter à un guichet de subventions.

C’est un référentiel d’exigences qui redéfinit le standard attendu.

Difficultés rencontrées : pourquoi les établissements publics peinent-ils à se mettre en conformité ?

Si le cadre est clair, son application l’est beaucoup moins.

Dans la majorité des cas, les décideurs IT savent parfaitement qu’il faut agir — mais ils ne savent ni dans quel ordre, ni avec quels moyens.

Plusieurs facteurs structurels expliquent ce blocage.

▶ Le manque de vision globale.

La cybersécurité touche à l’infrastructure, aux applications métiers, à l’organisation et à la gouvernance. Peu d’établissements disposent d’une cartographie consolidée de leur exposition réelle. Sans cette photographie d’ensemble, impossible de prioriser : on traite ce qui est visible, pas forcément ce qui est critique.

▶ Des ressources sous tension.

Le temps et l’expertise manquent. Les équipes IT publiques gèrent le quotidien — la disponibilité des outils de soin, les incidents, les évolutions métiers — avec des effectifs souvent restreints. Mobiliser des compétences pointues en sécurité, en architecture réseau ou en gestion de crise relève du défi permanent, dans un marché où ces profils sont rares et chers.

▶ La complexité de l’existant.

Les SI hospitaliers sont des écosystèmes hétérogènes, accumulés au fil des ans : applications spécifiques, équipements biomédicaux connectés, systèmes hérités difficiles à mettre à jour. Chaque modification peut avoir des effets en chaîne sur la continuité des soins, ce qui impose une prudence qui ralentit l’action.

▶ Une priorisation impossible à l’aveugle.

Faut-il commencer par sécuriser l’Active Directory ? Réduire l’exposition Internet ? Industrialiser les sauvegardes ? Former les équipes ? Tout semble prioritaire, et c’est justement le problème. Sans méthode pour arbitrer entre l’urgent et le structurant, on multiplie les chantiers sans jamais réduire le risque de manière significative.

Le résultat est un sentiment d’enlisement : beaucoup d’efforts, peu de visibilité sur les progrès réels, et la sensation de courir après une échéance.

Les risques factuels en cas d’inaction ou de retard d’ici 2027

L’attentisme n’est pas neutre. Il a un coût, et ce coût se matérialise sur plusieurs plans.

▶ Risque 1 — Être attaqué.

Le premier risque est évidemment l’attaque elle-même. Le secteur de la santé figure parmi les plus visés en France. Une intrusion réussie, c’est un système d’information partiellement ou totalement paralysé, des dossiers patients inaccessibles, et des semaines — parfois des mois — de retour à la normale

▶ Risque 2 — L’interruption de service.

Le deuxième risque est l’interruption de service. Lorsque le SI tombe, ce sont les soins qui sont impactés : reprogrammation d’interventions, retour au papier, perte de productivité massive. Dans un environnement où chaque heure compte, l’indisponibilité a des conséquences directes sur les patients.

▶ Risque 3 — Réglementaire et financier.

Le troisième risque est réglementaire et financier. À mesure que les exigences se durcissent et que les financements CaRE sont conditionnés à l’atteinte d’objectifs, le retard se paie : opportunités de financement manquées, non-conformité aux référentiels, et fragilisation lors des processus de certification.

▶ Risque 4 — Mettre en péril sa réputation.

Le quatrième, enfin, est réputationnel. La fuite de données de santé — parmi les plus sensibles qui soient — entame durablement la confiance des patients, des partenaires et des tutelles. Et cette confiance, une fois perdue, est longue à reconstruire.

L’enjeu n’est donc pas théorique. Chaque trimestre d’inaction augmente mécaniquement la surface d’exposition et réduit la marge de manœuvre face à l’échéance de 2027.

Se mettre en conformité : l’approche 360° est indispensable.

Voici le point que trop d’établissements négligent : CaRE n’est pas un projet de mise en conformité, c’est une transformation globale.

Aborder le programme comme une liste de cases à cocher conduit immanquablement à l’échec.

Pourquoi ? Parce que les sujets sont profondément interdépendants. Sécuriser l’Active Directory sans repenser la gouvernance des accès ne sert à rien.

Investir dans la détection sans stratégie de sauvegarde ni plan de reprise laisse l’établissement vulnérable. Déployer des outils sans former les équipes, c’est créer une sécurité de façade.

Infrastructure, sécurité opérationnelle, gouvernance, formation : ces dimensions forment un système.

Les traiter en silos, c’est multiplier les angles morts et empiler des solutions partielles qui ne réduisent pas le risque réel. La conformité « sur le papier » peut être atteinte ; la résilience, elle, ne l’est pas.

C’est pourquoi une approche 360° est indispensable.

Elle articule une vision stratégique — où en suis-je, où dois-je aller, dans quel ordre ? — avec une capacité opérationnelle — qui exécute, comment, avec quels résultats mesurables ?

C’est cette double dimension, à la fois conseil et mise en œuvre, qui permet de transformer la contrainte CaRE en gain de maturité durable.

La méthodologie de CNS Communications pour se mettre en conformité.

Chez CNS Communications, nous accompagnons les établissements de l’identification des besoins jusqu’à l’exécution opérationnelle.

Notre démarche s’articule en quatre temps.

▶ Etape 1 — Analyse et audit de l’existant.

Tout commence par une photographie objective. Nous évaluons le niveau de maturité réel, cartographions le SI et identifions les écarts par rapport aux exigences CaRE. Ce que nous observons fréquemment chez nos clients : une exposition Internet sous-estimée, un Active Directory insuffisamment durci, des sauvegardes non testées et une documentation incomplète. L’audit n’est pas une fin en soi — c’est le socle qui rend la priorisation possible.

▶ Etape 2 — Construction d’une roadmap priorisée.

Nous distinguons les quick wins — actions à fort impact et faible effort, capables de réduire vite l’exposition — des chantiers structurants, plus lourds mais essentiels à la résilience. Cette feuille de route est systématiquement alignée avec les axes et domaines du programme CaRE, et adaptée à chaque typologie d’établissement : un grand CHU, un établissement médico-social et un hôpital de proximité n’ont ni les mêmes contraintes, ni les mêmes ressources, ni le même point de départ. La roadmap reflète cette réalité.

▶ Etape 3 — Implémentation opérationnelle.

Nous ne nous arrêtons pas aux recommandations. Nos équipes assurent le déploiement technique des mesures et accompagnent les équipes internes au fil de l’exécution, en veillant à préserver la continuité des soins à chaque étape.

▶ Etape 4 — Formation et montée en compétences.

Parce que la sécurité repose d’abord sur les femmes et les hommes, nous formons les équipes internes pour qu’elles gagnent en autonomie. L’objectif n’est pas de créer une dépendance, mais de laisser l’établissement plus fort, plus mature et capable de tenir son niveau dans la durée.

De l’audit à l’autonomie, cette continuité est ce qui distingue une mise en conformité subie d’une transformation maîtrisée.

En conclusion, CaRE est une échéance…

…et bien accompagné, c’est aussi une opportunité.

Faites le point sur votre niveau de maturité et construisons ensemble votre feuille de route vers 2027.