ACTUALITÉS

 Programme CaRE cybersécurité santé : guide et échéances 2026 pour les établissements

13 avril 2026

Fin 2025, la France apprenait qu'une cyberattaque avait exposé les données de santé de près de 15 millions de patients. La faille ciblait un logiciel de gestion utilisé par des milliers de médecins libéraux à travers le pays.

Derrière cet incident, se cache une réalité systémique que les chiffres documentent depuis plusieurs années. Les établissements de santé représentent désormais 11,4 % des attaques gérées par l'ANSSI en 2023, contre seulement 2,87 % en 2020, une progression alarmante qui témoigne d'une menace structurelle, et non conjoncturelle.

Pourquoi le secteur de la santé est-il la cible prioritaire des cyberattaques en 2026 ? Le secteur cumule deux vulnérabilités majeures : des données d'une valeur exceptionnelle et des systèmes informatiques chroniquement sous-financés. En moyenne, les hôpitaux ne consacrent que 1,7 % de leur budget d'exploitation au numérique, contre 9 % dans le secteur bancaire. Dans ce contexte, plus de 20 % des équipements informatiques hospitaliers sont obsolètes, autant de portes d'entrée pour les attaquants.

Programme CaRE : Les domaines clés pour la résilience des systèmes d'information hospitaliers

Face à cette menace, l'État français a structuré sa réponse autour du programme CaRE (Cybersécurité, Accélération et Résilience des Établissements). Doté de 750 millions d'euros sur la période 2023–2027, il accompagne les établissements sanitaires et médico-sociaux dans leur montée en maturité cyber, domaine par domaine.

2026 est précisément l'année où cette montée en maturité doit se concrétiser. Voici les jalons clés à retenir pour cette année :

• Domaine 2 — Continuité et reprise d'activité (PCA/PRA) : lancé par l'arrêté du 3 juillet 2025, ce domaine couvre la mise en place de sauvegardes sécurisées et de plans de continuité pour les services critiques. Les établissements peuvent déclarer l'atteinte de leurs objectifs entre le 16 janvier et le 18 novembre 2026. 
• Domaine 3 — Sécurisation des accès distants : Prévu pour un déploiement courant 2026, ce pilier vise à verrouiller les connexions externes, point de vulnérabilité majeur pour les systèmes d'information de santé. 
• Domaine 4 - Sécurité opérationnelle des établissements : Prévu pour début 2026, ce domaine est consacré à la sécurité opérationnelle visant à combler les lacunes existantes en matière de cybersécurité, afin d'instaurer une protection renforcée des systèmes d'information des établissements de santé.

En d'autres termes, les établissements qui n'ont pas encore engagé leur démarche CaRE n'ont plus le luxe d'attendre. Les financements sont conditionnés aux dépenses réellement engagées avant la déclaration d'objectifs, ce qui implique d'agir maintenant pour être éligible.

Ce que CaRE change concrètement

Répondre aux exigences du programme CaRE ne se résume pas à cocher des cases dans un référentiel. Cela implique de repenser en profondeur la manière dont les données de santé sont hébergées, sécurisées et gouvernées. Deux piliers nous semblent essentiels.

L'hébergement souverain des données de santé. Les données médicales sont parmi les plus sensibles qui existent. Leur confier un hébergement non certifié (HDS), ou un cloud hors juridiction française ou européenne, c'est prendre un risque réglementaire et éthique inacceptable. La souveraineté numérique n'est pas un argument marketing : c'est une exigence légale et une garantie concrète pour les patients.

L'audit et la remédiation régulière. Trop d'établissements découvrent leurs failles au pire moment, lors d'une attaque. Un programme d'audit structuré, combiné à une remédiation continue, permet d'identifier les vulnérabilités avant qu'elles ne soient exploitées. 

Alter Way, partenaire pour la cybersécurité des établissements de santé

Dans ce contexte, Alter Way est le partenaire stratégique capable de transformer ces contraintes réglementaires en leviers de performance, notamment sur les domaines les plus critiques du programme. Pour le Domaine 2, consacré à la continuité et à la reprise d'activité (PCA/PRA), Alter Way intervient pour faire évoluer les plateformes clients en concevant et déployant des architectures de secours résilientes. Notre approche repose sur un audit rigoureux des dispositifs existants afin d'identifier les points de rupture, suivi d'une mise à niveau technique indispensable pour garantir la sauvegarde sécurisée des services critiques tels que les urgences ou l'imagerie médicale. Pour le Domaine 3, portant sur la sécurisation des accès distants, notre expertise permet de réaliser des audits de sécurité approfondis, débouchant sur des plans de recommandations précis et leur mise en œuvre opérationnelle, assurant ainsi l'étanchéité des accès dans un environnement de plus en plus ouvert.

La souveraineté numérique : Le bouclier indispensable du programme CaRE

Notre conviction profonde est que la réponse technique doit impérativement s'accompagner d'une vision axée autour de la souveraineté numérique. Confier des données de santé à un hébergement non certifié HDS ou à un cloud hors juridiction européenne représente un risque éthique et réglementaire inacceptable que le programme CaRE ne saurait couvrir. C'est pourquoi Alter Way propose une expertise combinant cloud souverain, hébergement HDS et technologies open source, afin de bâtir des infrastructures résilientes sans dépendance propriétaire. Au sein du groupe Smile, particulièrement engagé en faveur de la souveraineté numérique, Alter Way vous accompagne pour protéger vos données. En 2026, la question pour un établissement de santé n'est plus de savoir s'il sera ciblé, mais de garantir qu'il sera prêt à maintenir ses soins vitaux le jour où l'attaque surviendra.

Anticipez les échéances du programme CaRE avec Alter Way, votre partenaire souverain.