04/10/2025 Sector-Specific Resilience Français 2 min 14 vues

Cybersécurité et continuité : ce que CaRe D2 attend vraiment de votre établissement

Les chiffres parlent d’eux-mêmes : la part des cyberattaques visant les établissements de santé est passée de 2,8 % en 2020 à 11,4 % en 2023 (ANSSI). Chaque attaque peut provoquer l’arrêt brutal du système d’information, et donc de l’activité de soins. C’est pour répondre à cette menace que le programme CaRe D2 a été lancé : il finance la mise en place de plans de continuité et de reprise d’activité (PCA/PRA) et la sécurisation des sauvegardes.

Julien Puaux

Auteur

CARE D2 - Vue d'ensemble

Un programme qui va au-delà de l’IT

L’Agence du Numérique en Santé (ANS) attend de chaque établissement qu’il formalise un Plan de Continuité et de Reprise d’Activité (PCRA) couvrant :

  • 1) Le scénario d’indisponibilité du système d’information (obligatoire).
  • 2) Un deuxième scénario au choix, parmi les suivants :
  • - indisponibilité du site (incendie, inondation),
  • - indisponibilité des ressources humaines (grève, épidémie),
  • - indisponibilité d’un fournisseur critique.

En clair : la continuité d’activité doit s’envisager de façon globale, pas seulement sous l’angle technique.

Les attendus clés de CaRe D2

Pour être financés, les établissements doivent démontrer qu’ils savent :

  1. Gouverner la continuité : comité de pilotage, cellule de crise, procédures intégrées au plan blanc.
  2. Formaliser PCA et PRA sur la base de Bilans d’Impact sur l’Activité (BIA).
  3. Sécuriser les sauvegardes : authentification forte, cloisonnement, principe du 3-2-1, supervision.
  4. Tester en conditions réelles : au moins un PCA et une restauration de sauvegarde sur un SI critique.

Le rôle décisif de la direction

Sans engagement clair de la direction générale, la démarche s’essouffle vite. C’est à elle de :

  • définir les priorités (sécurité des patients, retour au nominal sous X jours),
  • arbitrer entre les options,
  • sponsoriser la nomination d’un RPCRA (Responsable PCA/PRA), rôle pivot recommandé par l’ANS.

Pourquoi agir vite

Le calendrier est serré :

  • 2 septembre 2025 : ouverture du guichet de dépôt des candidatures.
  • 31 octobre 2025 : clôture des candidatures.
  • 19 décembre 2025 : signature des conventions ANS/établissements.

Chaque établissement éligible a donc quelques semaines pour structurer son projet et sécuriser son financement.

Comment gagner du temps avec Resilis

Nous savons que le point de douleur principal est le temps. Construire un PCA/PRA complet mobilise énormément les équipes.

C’est exactement ce que simplifie Resilis :

  • un parcours guidé pas-à-pas pour bâtir vos PCA et PRA conformes CaRe D2,
  • des BIA intelligents qui cartographient les dépendances métiers ↔ SI,
  • des exports conformes prêts à déposer sur le guichet,
  • un suivi centralisé des tests et indicateurs.

En résumé

  • Le risque cyber est la porte d’entrée, mais CaRe D2 impose aussi de couvrir au moins un autre scénario critique (site, personnel, fournisseur).
  • La réussite passe par une gouvernance claire et un engagement fort de la direction.
  • Le financement est conditionné à l’atteinte des objectifs d’ici fin 2026.

👉 Ne laissez pas passer l’opportunité : sécurisez vos financements et préparez votre établissement dès maintenant.

Tags

Business Continuity

Actions

Programmez une démo

Partager cet article