Compte rendu – Présentation ARS Programme CaRE – 3 octobre 2024

Un pas vers le renforcement de la cybersécurité des établissements de santé.

Introduction :

Le Programme CaRE (Cyber-Accélération et Résilience des Établissements) est un programme visant à améliorer la cybersécurité dans les établissements de santé. Le Domaine 1, particulièrement en 2024, se concentre sur la gestion de la sécurité des systèmes d’information (SSI), les audits techniques et la maîtrise des risques cyber. 

Cet article vise à clarifier les modalités de candidature et les étapes clés pour les établissements de santé intéressés. (Publics, GHT, privés et privés à but non lucratif)  

Contexte :

Le projet CaRE est le successeur des projets Sun-ES, Hop’En et Ségur. Il s’articule autour d’une « philosophie de contrôle du réel », imposant la mise en place de mesures de sécurité avant tout financement.  

Les fonds alloués pour le programme CaRE s’élèvent à 65 millions d’euros, couvrant environ 1 430 établissements avec une moyenne de 46 000 € par établissement.  

Des outils de suivi et de contrôle sont fournis par l’ANS et l’ANSSI, notamment ORADA/ORADAZ et SILENE (bien que SILENE nécessite une conformité renforcée aux attentes de l’ANS). 

Les 3 parties prenantes majeures du programme CaRE.

 

Objectifs principaux du programme CaRE :

• Renforcer la SSI et les outils de gouvernance sur la durée ;
• Assurer la maîtrise des annuaires d’établissements (Active Directory) et de l’exposition extérieure ;
• Réaliser des audits de sécurité tous les deux mois pour maintenir une sécurité de pointe ;
• Calculer un budget IT dédié à la SSI, et améliorer la résilience aux incidents cyber.

Révision de la Phase Opérationnelle :

L’ANS, en raison des retards d’envoi des conventions et des difficultés d’inscription à SILENE, a redéfini la « phase opérationnelle » du domaine 1. Désormais, cette phase exige des audits AD et d’exposition Internet tous les 60 jours pour atteindre les objectifs D1.O1.A/B et D1.O2.A/B. Elle commence entre le 22 mars et le 20 septembre 2024 et se termine à la déclaration d’atteinte des objectifs déposée sur le guichet dédié.

• Point : Complémentarité avec le Programme Renfort RH

Éviter le double financement avec le programme Renfort RH en excluant les dépenses RH déjà financées.

Calendrier de CaRE:

• Phase d’instruction
  • 18 mars – 19 avril 2024 : Période de candidature sur la plateforme eCaRE.
• Phase de déclaration des objectifs
  • À partir du 16 juillet 2024 : Début du conventionnement avec l’ARS.
• Phase des audits
  • Avant le 20 novembre 2024 : Première série d’audits à effectuer.
• Dépôt des preuves de conformité
  • Fin mars 2025 : Date limite pour déposer les preuves de conformité.
• Dépôt final du dossier d’audits
  • 30 juin 2025 : Date limite pour le dépôt final du dossier d’audits.

Processus de Candidature au programme CaRE :

Objectifs de sécurité du Domaine 1 :

Les critères détaillés pour chaque objectif sont les suivants :

Ressources Documentaires :

Liens vers des ressources essentielles, y compris :

• Programme CaRE et guide détaillé
• Cahier des charges pour l’audit d’exposition Internet
• Fiches de présentation pour les outils Active Directory Security (ADS) et SILENE.

CONTACT :

Pour en savoir plus, sur le plan d’action du programme CaRE : doc-programme-care-231214-20h_pap[17].pdf (esante.gouv.fr)

N’hésitez pas à nous contacter pour en savoir plus sur la manière dont nous pouvons soutenir votre établissement dans cette démarche essentielle.

contact@src-solution.com