- SUPPORT CLIENT
- CONTACT
- 01 82 52 20 62
- STATUT INFRASTRUCTURE

Le domaine 2 du programme CaRE, ou domaine « stratégie de continuité et de reprise d’activité », est né de l’arrêté du 3 juillet 2025. Le guichet de candidature sur la plateforme eCaRE a ouvert du 2 septembre au 31 octobre 2025, avec 45 millions d’euros mobilisés au niveau national pour les établissements sanitaires publics et privés. Ce guichet est aujourd’hui fermé. Ce qui compte désormais, pour les établissements retenus, c’est la mise en œuvre réelle avant la déclaration d’atteinte des objectifs, possible jusqu’en novembre 2026.
CaRE veut dire Cybersécurité, Accélération et Résilience des Établissements. Le programme est piloté au niveau national par l’Agence du Numérique en Santé, en lien avec les ARS, dont l’ARS Auvergne-Rhône-Alpes qui a par exemple déployé un kit PCA/PRA et un accompagnement régional pour ses établissements. Après le domaine 1, consacré à la sécurité des systèmes d’information et à l’exposition sur Internet, ce domaine 2 s’attaque à une question plus organisationnelle : que fait un établissement de santé le jour où son système d’information s’arrête, et comment reprend-il pied.
NOTRE EXPERTISE
VOS BÉNÉFICES
Le guide des prérequis et objectifs publié par l’ANS fixe une feuille de route précise, pas une simple déclaration d’intention :
Ce n’est pas un projet informatique isolé. C’est un projet d’établissement qui touche la gouvernance, les équipes soignantes et les services techniques en même temps. Un rançongiciel qui bloque le dossier patient n’est pas seulement un incident cyber, c’est un problème de continuité des soins.
La phase opérationnelle du domaine 2 a démarré le 16 juillet 2025, date de publication de l’arrêté du 3 juillet 2025 sur Légifrance. À partir de cette date, les établissements pouvaient déjà engager des dépenses éligibles, avant même d’avoir déposé leur dossier.
Le calendrier s’est déroulé en plusieurs temps :
Le guichet de candidature est fermé depuis le 31 octobre 2025. La phase qui compte aujourd’hui, pour les établissements dont le dossier a été retenu, c’est celle qui va de l’engagement des travaux à la déclaration d’atteinte des objectifs, avant l’échéance de novembre 2026. C’est là que se joue la conformité réelle, pas au moment du dépôt du dossier.
L’enveloppe nationale allouée au domaine 2 s’élève à 45 millions d’euros, réservée aux établissements sanitaires publics et privés. Le modèle de financement repose sur une seule clé de répartition, l’activité combinée de l’établissement ou du groupement.
Concrètement, le calcul suit trois règles simples :
Le financement versé ne peut jamais dépasser ce plafond, ni excéder les dépenses réellement engagées par l’établissement entre le 16 juillet 2025 et sa déclaration d’atteinte des objectifs. Autrement dit, l’ANS rembourse ce qui a été concrètement dépensé pour la politique de sauvegarde, le PCA/PRA et les tests de restauration, pas un forfait fixe accordé d’office. Une convention est ensuite signée avec l’ANS, comme pour le domaine 1. La liste des établissements éligibles et les montants plafonds correspondants sont publiés sur le site de l’ANS, et certaines ARS, comme l’ARS Auvergne-Rhône-Alpes, détaillent en plus l’enveloppe régionale et l’accompagnement local proposé aux établissements.
Avant de commencer, mieux vaut avoir les bons documents sous la main plutôt que de reconstruire les prérequis de mémoire. Voici ceux que nous consultons nous-mêmes en accompagnement :
Sur notre site, deux pages complètent ce sujet si vous voulez élargir la vue. Notre guide complet du système d’information hospitalier situe le domaine 2 dans l’ensemble des cinq domaines du programme CaRE. Notre page sur l’hébergement HDS et la sécurité du SI détaille comment nous articulons sauvegarde, hébergement et conformité pour les établissements que nous accompagnons déjà sur d’autres volets de leur SI.
On part de la situation réelle de l’établissement, pas d’un modèle générique reproduit pour toutes les structures sanitaires et médico-sociales.
Nous vous accompagnons dans :
Nous vous aidons à :
Nous organisons :
Nos équipes interviennent aussi sur les autres volets de la sécurité des systèmes d’information et de la résilience numérique en santé : gouvernance cyber, hébergement, infogérance. Ce qui permet d’articuler le domaine 2 avec le reste de votre feuille de route CaRE, plutôt que de le traiter comme un sujet isolé.
Plusieurs établissements nous ont sollicités après leur candidature au domaine 2, une fois le financement obtenu, pour transformer le dossier déposé en actions réellement conduites. Le point qui revient le plus souvent : la sauvegarde existait sur le papier, mais personne n’avait vérifié qu’elle permettait une restauration complète en temps voulu.
Vous avez candidaté au domaine 2 et vous devez maintenant mettre en œuvre vos objectifs avant l’échéance de déclaration, ou vous préparez un prochain appel à financement du programme CaRE. Contactez nos équipes pour faire le point sur votre politique de sauvegarde, votre PCA/PRA et le calendrier restant.
Le domaine 1 porte sur les annuaires techniques et l’exposition sur Internet, donc sur l’audit et le durcissement technique. Le domaine 2 porte sur la stratégie de continuité et de reprise d’activité : politique de sauvegarde, système de restauration, gouvernance du PCA/PRA. Le premier réduit la surface d’attaque, le second prépare l’établissement à encaisser un incident et à repartir.
Non. Le dépôt des dossiers sur eCaRE s’est fait du 2 septembre au 31 octobre 2025, conformément à l’arrêté du 3 juillet 2025. Les établissements retenus ont maintenant jusqu’à la déclaration d’atteinte des objectifs, possible jusqu’en novembre 2026, pour mettre en œuvre leurs actions et réunir les preuves demandées.
Parce que l’ANS demande une sauvegarde testée et documentée, pas une sauvegarde qui tourne sans supervision depuis des années. Dans la plupart des établissements que nous avons audités, la sauvegarde existe, mais personne n’a vérifié qu’elle permettait de restaurer les applications critiques dans un délai acceptable, ni qu’elle résistait à une contamination par rançongiciel.