A l'occasion d'une visite au Centre hospitalier de Versailles, Aurélien Rousseau, le ministre de la Santé et de la Prévention, et Jean-Noël Barrot, le ministre délégué chargé du Numérique, ont présenté le 18 décembre "CaRE", acronyme de "Cybersécurité accélération et résilience des établissements". Il s'agit d'un nouveau plan d'action dont l'objectif est de "protéger les établissements de santé face à la menace cyber".
En pratique, CaRE vise à "accélérer la mise à niveau des systèmes d'informations hospitaliers face à l'état de la menace" et "à renforcer durablement la résilience des structures de soins". Il est doté d'un programme de 250 millions d'euros jusqu'en 2025 sur un objectif d'investissement total de 750 millions d'euros d'ici 2027.
Un plan blanc numérique
Le plan d'action repose sur quatre axes. Le premier, baptisé "Gouvernance et résilience", a pour objectif de structurer "la gouvernance de la cybersécurité dans le secteur de la santé en impliquant les niveaux nationaux, régionaux et locaux". Il prévoit par exemple d'intégrer des critères numériques et cybersécurité dans le manuel de certification de la Haute autorité de santé (HAS) des établissements de santé ou encore faciliter l'intégration d'un volet numérique dans le plan blanc des établissements de santé en mettant à disposition un guide de préparation à la mise en oeuvre "d'un plan blanc numérique".
Le deuxième pilier vise à favoriser la mutualisation des ressources et des moyens entre les établissements et prévoit également d'augmenter le nombre de personnels dédiés au système d'information, ce qui nécessite de rendre attractives les carrières du numérique en santé et de pérenniser les emplois. Il est aussi prévu que la part du numérique dans le budget des établissements doit représenter 2% du budget global de l'entité.
Sensibiliser l'ensemble des professionnels
Le troisième pilier porte sur la sensibilisation. Le plan explique à ce propos qu'il est "primordial de proposer à tous les professionnels de santé et à tous les personnels administratifs une formation sur le numérique et la cybersécurité, et les sensibiliser sur le cadre réglementaire et sur les bonnes pratiques à adopter". A cette fin, est notamment prévue l'animation d'une communauté des RSSI afin de "renforcer la visibilité de leur action auprès de leur direction".
Le dernier volet concerne la sécurité opérationnelle. "Un effort important" des établissements doit être fait pour remédier aux faiblesses, déployer des technologies permettant de mieux détecter les signaux de compromission en cas d'intrusion ainsi qu'améliorer la capacité de reprise informatique en cas d'une telle compromission.
Financer "les plans de remédiation cyber"
A l'occasion de la présentation de CaRE, Aurélien Rousseau a annoncé un premier appel à projets doté de 60 millions d'euros pour permettre aux établissements de financer des plans dits de "remédiation cyber". L'idée est de répondre aux failles exploitables par les cyberattaquants et ainsi de réduire le risque d'intrusion et la diffusion des logiciels malveillants dans le système d'information de l'établissement.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
