L’Agence du Numérique en Santé (ANS) a publié le 17 avril 2025 une version 2 du kit d’exercice de crise cyber à destination des établissements sanitaires et médico-sociaux (ESMS).
Ce kit vise à aider les structures à se préparer concrètement à une cyberattaque, en simulant une situation de crise réaliste. Il contient un scénario de cyberattaque, un guide méthodologique, des supports de communication, ainsi qu’un canevas de débriefing.
À la différence de la version 1, centrée sur les établissements de santé (hôpitaux, cliniques), cette nouvelle version est adaptée aux spécificités des ESMS, notamment en termes de ressources humaines limitées ou d’organisation en réseau.
Le kit est conçu pour être utilisé même sans expert en cybersécurité interne, rendant l’outil opérationnel, accessible et pédagogique. Il s’inscrit dans la mise en œuvre du programme CaRE (Cybersécurité, accélération et Résilience des Établissements), qui vise à améliorer la cybersécurité dans les établissements de santé[1].
Lancé en décembre 2023, le programme CaRE est une initiative nationale pilotée par la Délégation au numérique en santé (DNS), l’ANS, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la Direction générale de l’offre de soins (DGOS) et les agences régionales de santé (ARS). Ce programme a vu le jour dans un contexte où la santé connaît un véritable essor des usages numériques, amenant à une augmentation des risques de cyber malveillance. Selon l’ANSSI, le secteur de la santé est le troisième secteur le plus touché par les cyberattaques, après les collectivités territoriales et les TPE/PME. Ces attaques ont des conséquences directes sur l’organisation des services et la prise en charge des patients, et le retour à la normale peut prendre plusieurs mois et nécessite souvent des investissements importants, humains et financiers, pour les établissements victimes.[2]
Le programme CaRe vise à éviter que les attaques aboutissent, et permettre aux établissements de s’en relever le plus rapidement possible. Doté de 250 M € sur la période 2023–2025, dans un financement global de 750 M € d’ici 2027, CaRE est articulé autour de quatre axes principaux : gouvernance et résilience, ressources et mutualisation, sensibilisation, et sécurité opérationnelle.
Chaque axe porte des mesures concrètes : désigner un référent SSI, doter les établissements de ressources humaines et financières, lancer des campagnes de sensibilisation comme « Tous cyber‑vigilants », et publier un catalogue d’offres pour sécuriser postes, réseaux et accès.
Pour bénéficier des financements et de l’accompagnement proposés dans le cadre du programme CaRE, les établissements doivent candidater aux différents appels à projets ou guichets spécifiques ouverts par l’ANS et relayés par les ARS.[3]
La cybersécurité est donc un enjeu crucial dans un contexte d’essor des outils numériques dans le domaine de la santé, d’autant plus que l’ANS et la DNS ont lancé une nouvelle édition de l’appel à projets « Structures 3.0 », visant à financer l’évaluation de solutions numériques innovantes au sein ESMS.
Cette initiative, alignée avec les priorités de santé publique des Grands Défis France 2030, met l’accent sur deux enjeux majeurs : le bien vieillir et la santé mentale. Les structures intéressées ont jusqu’au 30 septembre pour candidater.[4]
______
[2] Présentation du programme CaRE | Agence du Numérique en Santé
[4] Structures 3.0 – Appel à projets 2025 : un partenariat ESSMS / ENS au service de l’innovation