Dans un secteur où les incidents de cybersécurité ont progressé de 33 % en un an, l’Agence du Numérique en Santé (ANS) lance un appel à projets pour sélectionner 21 structures sociales et médico-sociales pilotes, chargées d’expérimenter des mesures concrètes de protection avant déploiement à plus grande échelle. Les candidatures sont ouvertes du 11 mai au 4 juin 2026. Pour les directeurs d’ESMS, cet appel à projets est aussi l’occasion de prendre conscience d’une exposition aux risques cyber devenue structurelle — indépendamment de leur participation au dispositif.

Un appel à projets dans le cadre du programme CaRE

L’annonce officielle de l’ANS s’inscrit dans l’axe 4 « Sécurité opérationnelle » du programme CaRE (Cybersécurité Accélération et Résilience des Établissements), doté de 750 millions d’euros jusqu’en 2027. Initialement centré sur les établissements hospitaliers, CaRE s’étend progressivement au secteur médico-social, reconnu comme un maillon vulnérable de la chaîne de sécurité numérique en santé.

Le format retenu est celui d’un POC (preuve de concept) : 21 structures sélectionnées constitueront un panel représentatif selon leur type (EHPAD, IME, ESAT, SAAD, etc.) et leur niveau de maturité cyber. L’objectif est de tester des mesures organisationnelles, techniques et de sensibilisation du personnel dans des conditions réelles, avant tout déploiement à grande échelle vers les 40 000 ESSMS français.

Les candidatures sont ouvertes du 11 mai au 4 juin 2026 sur la plateforme Convergence. Les 21 lauréats démarreront leur projet en juillet 2026, pour une durée de 8 mois jusqu’en février 2027. Trois parcours sont proposés selon la maturité cyber de la structure : sans ressources dédiées, avec ressources partielles, ou à maturité moyennement avancée.

Un secteur de plus en plus exposé : les chiffres 2025

Les données publiées par le CERT Santé (équipe nationale de réponse aux incidents cyber dans le secteur santé) donnent la mesure de l’exposition croissante des ESSMS :

• 204 déclarations d’incidents pour les ESSMS en 2025, soit +33 % par rapport à 2024
• 113 incidents d’origine malveillante en 2025 (+17 % vs 2024)
• 19 interventions du CERT Santé directement en ESSMS en 2025
• Les incidents avec données inaccessibles ont augmenté de 52 % entre 2023 et 2024
• La menace rançongiciel est en hausse de 28 % par rapport à 2023
• 1 à 2 EHPAD sont visés chaque mois par une cyberattaque avec demande de rançon
• Près d’un tiers des incidents ont un impact direct sur la prise en charge des usagers

Le secteur santé-médico-social est devenu le 3e secteur le plus touché en France (après les collectivités territoriales et les TPE/PME), selon l’ANSSI. La vulnérabilité spécifique des ESSMS tient à une réalité structurelle : systèmes informatiques légers, absence de responsable cyber dédié, ressources humaines et financières insuffisantes pour investir dans la sécurité numérique. Au-delà de la cybersécurité, les directeurs doivent également gérer d’autres obligations réglementaires récentes, notamment les nouvelles règles sur le recours à l’intérim dans les ESSMS depuis la note DGCS du 30 mars 2026.

L’incident majeur de début 2026 illustre cette interdépendance : fin février, une cyberattaque ciblant un éditeur de logiciels de santé a compromis 15 millions de dossiers patients, affectant plus de 1 500 médecins — et par extension les structures médico-sociales qui utilisaient leurs interfaces de partage de données.

Nouvelles obligations réglementaires : NIS2 et ReCyF

La montée des risques s’accompagne d’une montée en charge des obligations réglementaires. La directive européenne NIS2 (transposition en cours en France) impose aux entités « importantes » ou « essentielles » du secteur santé des obligations formelles : gouvernance documentée de la cybersécurité, gestion des risques, authentification forte, chiffrement, sauvegardes, et notification des incidents significatifs dans les 24 à 72 heures.

Depuis le 17 mars 2026, l’ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées pour répondre aux objectifs NIS2. Pour les ESSMS concernés par NIS2, ce référentiel constitue désormais le cadre de travail de référence pour structurer leur politique de sécurité.

La convergence de trois pressions simultanées — hausse des incidents (+33 %), montée en charge NIS2 (ReCyF actif depuis mars 2026), et déploiement du Ségur numérique ESMS vague 2 (plus de données en ligne = plus de surface d’attaque) — fait de 2026 une année charnière pour la gouvernance numérique des établissements médico-sociaux. Ce n’est plus un sujet IT : c’est un sujet de direction générale.

Ce que doit faire un directeur d’ESMS, qu’il soit candidat ou non

L’appel à projets ANS ne concerne que 21 structures pilotes sur 40 000 ESSMS en France. Pour les structures non lauréates, l’enjeu est de ne pas attendre 2027 pour agir. Plusieurs outils gratuits sont disponibles dès maintenant :

• OPSSIMS (Observatoire Permanent de la Sécurité des SI médico-sociaux) : outil d’auto-évaluation de la maturité cyber en ligne, disponible sur le portail ANS — première étape avant toute démarche
• CRRC régional (Centre Régional de Ressources Cyber) : un par région, accompagnement gratuit pour le diagnostic et la préparation à l’appel à projets
• Kit d’exercice de crise cyber v2 (ANS, publié en avril 2025) : spécialement adapté aux ESMS, permet de simuler une cyberattaque et d’évaluer la réactivité des équipes
• CERT Santé : disponible 24h/24, 7j/7 pour les signalements et l’accompagnement en cas d’incident
• Formation en ligne gratuite : plateforme CoorpAcademy via l’ANS, accessible à tous les agents

Pour les structures souhaitant candidater à l’appel à projets, le processus recommandé est le suivant : (1) évaluer la maturité via l’OPSSIMS, (2) contacter son CRRC régional pour un diagnostic préalable gratuit, (3) identifier le parcours adapté (1, 2 ou 3), (4) déposer le dossier sur la plateforme Convergence avant le 4 juin 2026.

Sur le fond, trois priorités s’imposent à tout directeur d’ESMS en 2026, indépendamment de la candidature :

• Désigner un référent cybersécurité interne (ou conventionner avec un prestataire) et formaliser ce rôle dans l’organigramme
• Mettre à jour et tester le Plan de Continuité d’Activité (PCA) en intégrant un scénario de cyberattaque — les établissements dotés d’un PCA récent réduisent significativement les délais de reprise après incident
• Vérifier la mise en place des sauvegardes déconnectées selon la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site)

Les obligations de conformité RGPD des ESMS imposent par ailleurs de notifier toute violation de données de santé à la CNIL dans un délai de 72 heures. Un incident cyber touchant des DUI (Dossiers des Usagers Informatisés) est automatiquement une violation de données de santé au sens du RGPD.

Perspectives : vers une extension du programme CaRE au médico-social

Les résultats du POC (21 structures, juillet 2026 – février 2027) alimenteront la stratégie d’extension du programme CaRE au secteur médico-social à partir de 2027. La feuille de route prévoit d’atteindre 3 % des organismes gestionnaires dans le champ des personnes âgées, du handicap et des services à domicile d’ici fin 2026 — via des exercices de crise cyber obligatoires — avec une montée en charge progressive jusqu’en 2027.

Pour les directeurs d’ESMS en cours de renouvellement de CPOM, la question de la cybersécurité commence à apparaître dans les grilles d’évaluation des ARS. Anticiper en 2026 permet de se positionner favorablement pour les négociations budgétaires à venir, tout en remplissant une obligation de gouvernance de plus en plus clairement encadrée par la réglementation.

Sources officielles : ANS — Appel à projets cybersécurité ESSMS — Programme CaRE (ANS) — Directive NIS2 (ANSSI)