Programme CaRE
Programme CaRE
Axe 4 - Sécurité opérationnelle
Cybersécurité accélération et Résilience des Établissements (CaRE)
L'axe 4 du programme CaRE, consacré à la sécurité opérationnelle, se décline en plusieurs domaines spécifiques.
Chacun de ces domaines vise à traiter une problématique technique précise et à combler les lacunes existantes en matière de cybersécurité, afin d'offrir une protection renforcée aux systèmes d'information des établissements de santé.
Les services d'audit de l'ANSSI :
Les 4 domaines :
Domaine Annuaires techniques et exposition sur internet
Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maîtrisant leur exposition sur Internet et en consolidant la maîtrise des annuaires techniques. Les cyberattaques récentes montrent que l’exposition Internet est l’un des vecteurs principaux de pénétration par les attaquants dans le système d’information des établissements de santé.
Pour en savoir plus sur l'arrêté du financement du domaine Annuaires techniques et exposition sur Internet.
L’Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Le premier appel à financement vise à :
- atteindre un premier niveau de remédiation de l'exposition sur Internet ;
- atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- se préparer au risque d’une cyberattaque ;
- s’auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).
Domaine Stratégie de continuité et de reprise d’activité
L’objectif du domaine Stratégie de continuité et de Reprise d’activité est de permettre aux établissements sanitaires et médico-sociaux, en cas d’incident, de reconstituer rapidement les services critiques et d’assurer la continuité et la reprise de leur activité.
Lors d’une attaque de type rançongiciel (une des principales menaces), les attaquants cherchent à chiffrer les données des établissements de santé, mais aussi les sauvegardes, rendant la reprise d’activité particulièrement complexe, avec des pertes de données massives et critiques. Un effort particulier doit être porté sur la capacité des établissements à se préparer, s’organiser et à réagir dans le cadre d’une cyberattaque, notamment dans la mise en place de sauvegardes non contaminables et restaurables pour toutes les applications critiques.
L'ouverture du domaine se fera courant 2025.
Domaine Sécurisation des accès distants
L'objectif du domaine 3 est de sécuriser l'ensemble des accès distants, couvrant à la fois les fournisseurs et les accès du personnel des établissements.
Le grand nombre de fournisseurs nécessitant des connexions avec les solutions déployées dans les établissements de santé crée un risque accru d'intrusions par des attaquants exploitant ces "portes ouvertes". Il est donc nécessaire de sécuriser les accès distants, non seulement pour la télémaintenance, mais aussi pour le personnel des établissements de santé.
L'ouverture du domaine se fera courant 2025.
Domaine Supervision des postes de travail
L'ouverture du domaine se fera courant d'année 2026.
Foire aux Questions (FAQ) :
Le service ADs mis à disposition par l'ANSSI doit être utilisé pour auditer les AD :
https://esante.gouv.fr/Fiche%20de%20pr%C3%A9sentation%20ADS
Il est attendu une première réalisation concrète au bout de 18 mois avec des premières actions de convergence mises en œuvre.
Quelques exemples de 1ères réalisations concrètes (jalon à 18 mois) : mise en place d'une infrastructure commune pour deux domaines AD, migration de certains services ou utilisateurs vers une nouvelle infrastructure AD commune, création d'une stratégie de gestion des identités et des accès unifiés pour les domaines concernés.