Accueil > Financement et politiques publiques > CaRE : comment s’organise l’appel à financement du Domaine 1 ? CaRE : comment s’organise l’appel à financement du Domaine 1 ? Le programme “Cybersécurité accélération et Résilience des Établissements” (CaRE) a officiellement été lancé le 18 décembre 2023 par Aurélien Rousseau et Jean-Noël Barrot, respectivement ancien ministre de la Santé et de la Prévention et ancien ministre délégué auprès du ministre de l'Économie, des Finances et de la Souveraineté industrielle et numérique, chargé du Numérique. Pour aider les établissements sanitaires à faire face à la menace cyber, CaRE prévoit des appels à financement dédiés à certaines problématiques. Le Domaine 1 axé sur les “audits techniques, l’exposition internet et les annuaires techniques” est le premier à voir le jour. Par Coralie Baumard. Publié le 31 janvier 2024 à 9h22 - Mis à jour le 31 janvier 2024 à 9h22 Ressources Le programme “Cybersécurité accélération et Résilience des Établissements” (CaRE) a été enclenché après les cyberattaques du Centre hospitalier sud francilien (CHSF) et du centre hospitalier de Versailles en 2022. Ce programme est né des réflexions de la task force constituée après ces attaques par l’Agence du numérique en santé (ANS) et la Délégation du Numérique en Santé (DNS). Elle intègre également le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI), l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), la Direction Générale de l’Offre de Soins (DGOS), les Agences Régionales de Santé (ARS) et les Groupements Régionaux d’Appui au Déploiement de la e-santé (GRADeS). Des contributeurs tels que les fédérations hospitalières, les fédérations du médico-social, les industriels, les établissements de santé, les centrales d’achat et les représentants des usagers, ont également permis d’établir la feuille de route 2023-2027 de CaRE. Ce plan d’action est décliné en quatre axes : gouvernance et résilience ; ressources et mutualisation ; sensibilisation ; sécurité opérationnelle. “C’est un programme ambitieux car nous évoluons dans une situation de crise. Il va distinguer deux grandes ambitions : la première consiste à accompagner l’ensemble des établissements à se préparer, à réagir et à s’organiser, car nous ne pouvons pas garantir qu’ils ne seront pas attaqués. La seconde est de soutenir la sécurité opérationnelle et de pallier la dette technologique de l’ensemble des établissements. Pour cela, des moyens d’ampleur sont mis en place. Une enveloppe de 250 M€ est directement fléchée vers nos établissements et les offres d’accompagnement portées par les régions pour 2024-2025. Au total, nous envisageons une enveloppe de 750 M€ pour répondre à l’ambition de l’ensemble du programme”, indiquait Élodie Chaudron, directrice du programme CaRE pour l’ANS, lors d’un webinaire le 11 janvier. Un appel à financement qui concernent tous les établissements Plusieurs objectifs de la feuille de route doivent être réalisés en 2024, notamment, le déploiement à grande échelle d’un kit de plan de continuité et de reprise d’activité destiné aux établissements sanitaires. L’année 2024 inaugure également le premier appel à financement destiné à aider les établissements à pallier leur dette technologique sur des domaines particuliers. Ces financements dits de rattrapage ne sont octroyés aux établissements que lorsque ces derniers atteignent des objectifs fixés. Un premier appel à financement pour le domaine “audits techniques exposition internet et annuaires techniques” (Domaine 1) est déjà lancé. Les prochains appels à financement devraient suivre rapidement. Parmi les priorités déjà identifiées : “Poste de travail et détection” (Domaine 2), “Sécurisation des accès de télémaintenance” (Domaine 3), et “Continuité d’activité et stratégie de sauvegarde” (Domaine 4). “Ces financements sont ponctuels, ils ont pour objectif de permettre aux établissements de mettre le pied à l'étrier et de rattraper le retard sur les périmètres que la task force a identifiés comme prioritaires”, indique Élodie Chaudron. Tous les établissements sanitaires peuvent accéder au financement du Domaine 1 (établissements publics comme ESPIC et EBNL). Pour les groupements hospitaliers de territoire (GHT), il est prévu que l’établissement support porte la candidature pour l’ensemble des entités juridiques du GHT. S’agissant des établissements publics et privés, l’entité juridique candidate pour l’ensemble des entités géographiques. Seul prérequis : que les établissements aient été candidats au programme SUN-ES ou valident les exigences de sécurité et d’admissibilité au programme SUN-ES. En clair, ils doivent atteindre les deux prérequis liés à la sécurité des systèmes d’information : Le prérequis PS2.1 qui implique la présence d’une politique de sécurité, un plan d’action SSI réalisé ainsi que l’existence d’un responsable sécurité. Le prérequis PS2.2 qui implique la réalisation d’un audit externe de cybersurveillance. Pour les GHT, ces prérequis s’adressent à l’établissement support ainsi qu’aux autres établissements sanitaires du GHT (dont l’activité combinée cumulée correspond à 90% de l’activité du GHT). Pour les établissements publics hors GHT les prérequis concernent l’entité juridique candidate alors que pour les établissements privés, ils s’appliquent aux entités géographiques composant l’entité juridique candidate (dont l’activité combinée cumulée correspond à 90% de l’activité combinée de l’entité juridique). Si les établissements ont déjà validé les prérequis SUN-ES, ils n’ont aucune pièces justificative à fournir. Dans le cas contraire, ils doivent fournir : Un document présentant la politique de sécurité des SI ; La procédure de remontée des incidents de sécurité ; L’organigramme incluant le RSSI ; Une attestation de la tenue d’au moins deux rendez-vous annuels entre le RSSI et la direction de l’établissement ; Une attestation de l’audit de cybersurveillance datant de moins de deux ans. Une procédure impliquant les ARS et l’ANS Pour candidater, les établissements devront déposer l’ensemble des pièces (convention signée avec l’ANS, coordonnées bancaires, preuves des prérequis SUN-ES) dans un portail de candidature sécurisé. L’ARS va accepter ou refuser le dossier, s’il est validé l’ARS notifie l’ANS qui va enregistrer l’établissement dans son processus de paiement en tant que potentiel bénéficiaire. Dès que l’établissement considérera qu’il a atteint les différents objectifs, il pourra déposer sur le portail de dépôt de preuves l’ensemble des éléments demandés. Un certain nombre d’éléments de preuves à apporter a été défini pour chacun des objectifs. Si le dossier est complet, l’ARS notifie l’ANS pour qu’elle puisse procéder à la programmation d’une opération de contrôle avec l’établissement. “L’essentiel des contrôles s’effectuera sur pièces, des vérifications complémentaires pourront être réalisées soit sur la base d’un entretien avec l’établissement soit par le biais d'une analyse plus poussée qui prendra une forme ad hoc selon les cas”, indique Christophe Mattler, directeur du programme CaRE pour la DNS, lors d’un webinaire le 19 janvier. Si le contrôle est satisfaisant, l’établissement obtiendra une attestation de l’ANS ce qui entraînera le paiement. “Les ARS ont en parallèle un rôle majeur dans le développement et la mise à disposition d’offres dans leur centre de ressources régionales pour aider les établissements à répondre à l’ambition de l’ensemble du programme. Elles bénéficieront d’une enveloppe financière dédiée qui sera fléchée sur des priorités en lien avec le programme”, a précisé Élodie Chaudron, directrice du programme CaRE pour l’ANS. Quel calendrier ? Les dates clés du calendrier prévisionnel du Domaine 1 sont : 1er mars 2024, ouverture des candidatures pour les établissements ; 1er avril 2024, fermeture des candidatures ; 6 mai 2024, ouverture du portail de déclarations des objectifs ; 10 juin 2024, ouverture du guichet de paiement ; 31 mars 2025, fermeture du portail de déclaration des objectifs ; 30 juin 2025, fermeture du guichet de paiement. Quels sont les objectifs à atteindre ? Objectif D1.O1.A : “À date, les audits restent relativement ponctuels et les conditions de sécurité d’un AD peuvent très rapidement dérivées en raison de mises à jour et d’opérations fonctionnelles ou d’opérations de convergence de deux établissements au sein d’un groupe ou d’un GHT. Or il constitue une porte d’entrée sur le système d’information”, souligne Christophe Mattler. Un audit doit être réalisé tous les deux mois pour l’ensemble des annuaires des établissements du candidat durant la phase opérationnelle. Cet audit est réalisé avec l’outil ADS fourni par l’Anssi. Objectif D1.O1.B : Les établissements doivent atteindre un score supérieur ou égal à deux pour les deux derniers audits réalisés avec ADS. Pour les GHT, ce score doit porter sur tous les AD de l’établissement support, pour les établissements publics ou privés sur tous les AD de l’entité juridique. Objectif D1.O2.A : Les établissements doivent réaliser tous les deux mois des audits de leur exposition internet. Pour les GHT, l’audit doit être réalisé sur l’ensemble des établissements de santé d’un GHT. L’outil utilisé pour réaliser cet audit doit suivre le cahier des charges établi par le CERT Santé. La DNS travaille actuellement à un guide permettant de faciliter l’identification de solutions pertinentes mais un référencement de type SONS n’est pas envisagé. L’outil SILENE de l’Anssi ne fait pas partie des solutions considérées comme conformes. Objectif D1.O2.B : L’absence de vulnérabilités critiques constatées sur les deux derniers audits d’exposition internet. Objectif D1.O3 : Les établissements doivent réaliser un exercice de gestion de crise cyber en utilisant les kits de l’ANS. Au niveau des GHT et des établissements publics l’ensemble des entités juridiques sont concernées, au niveau des établissements privés l’ensemble des entités géographiques. Objectif D1.O4 : 100% des établissements du candidat doivent remplir sur l’Observatoire des systèmes d'information de santé (oSIS) les 43 champs relatifs aux mesures prioritaires, ainsi que la part du budget numérique dans le budget global de l’établissement. Objectif D1.O5 : “Le budget moyen des établissements dédié au numérique est inférieur à 2%, cela ne permet pas d’assurer une maturité numérique sur le long cours”, souligne Christophe Mattler. L’objectif consiste à calculer la part du budget dédié au numérique dans le budget général des établissements et les équivalents temps plein dédiés à la SSI (ces ETP incluent les ressources de la DSI et de la RSSI). Pour les GHT, ces valeurs sont à renseigner pour chaque entité juridique le constituant. Pour les établissements publics et privés, elles sont à renseigner pour chaque entité géographique. Ces éléments doivent être intégrés dans oSIS. Objectif D1.O6 : Il concerne spécifique les GHT, en conformité avec le cadre de la loi de modernisation de notre système de santé de 2016, ils doivent mettre en place une organisation centralisée permettant d’atteindre les objectifs du programme et intégrer dans le schéma de convergence des SI du GHT les sujets AD comprenant les volets organisationnels et techniques. Coralie Baumard cyberCybermalveillanceCybersécuritéFinancementsHôpital Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind