CaRE D2 : quand la continuité d’activité sort enfin du seul périmètre IT
CaRE D2, un domaine charnière du programme CaRE
Avec le Domaine 2 du programme CaRE – Stratégie de continuité et de reprise d’activité – l’Agence du Numérique en Santé a clairement changé de focale. Là où les premiers domaines parlaient surtout d’outillage et de sécurisation technique, CaRE D2 s’attaque à un sujet plus transversal, plus exigeant et, soyons honnêtes, plus inconfortable pour beaucoup d’établissements de santé.
La continuité d’activité et la reprise après incident ne sont plus considérées comme un simple sous-projet IT. Elles deviennent un enjeu organisationnel, métier et managérial, à la croisée de la cybersécurité, de la gestion des risques et de la qualité des soins.
En cette fin d’année, les inscriptions au dispositif sont closes. Mais les travaux, eux, ne font que commencer.
Continuité et reprise d’activité en santé : un sujet longtemps sous-estimé
Pendant des années, le PCA et le PRA ont été traités comme des documents “qu’il faut avoir”. Parfois hérités d’un audit, parfois copiés-collés d’un modèle, souvent peu testés. La cyberattaque venait rappeler brutalement que la reprise d’activité ne se décrète pas, elle se prépare.
CaRE D2 part d’un constat simple : les rançongiciels ne visent plus uniquement la production, mais aussi les sauvegardes. Sans stratégie de continuité claire, sans scénarios métiers travaillés, sans tests réalistes, la résilience reste théorique.
Le Domaine 2 impose donc un changement de posture :
- passer d’une logique documentaire à une logique opérationnelle
- sortir du “tout informatique”
- impliquer réellement les directions métiers et qualité
Source – ANS
Un domaine à la frontière entre technique et qualité
C’est sans doute la grande originalité – et la principale difficulté – de CaRE D2. Le domaine est explicitement présenté comme un espace commun entre la DSI, le RSSI et la direction qualité.
Pourquoi la qualité ? Parce que le PCA et le PRA sont avant tout des outils de gestion des risques, de maintien des activités critiques et de sécurisation de la prise en charge des patients. Autrement dit, le cœur du métier hospitalier.
Le Domaine 2 fait ainsi le lien avec :
- le Plan Blanc et la gestion des situations sanitaires exceptionnelles
- les démarches de certification HAS
- les systèmes de management de la continuité d’activité
- la gouvernance globale de l’établissement ou du GHT
Ce n’est pas un hasard si l’ANS insiste autant sur la mobilisation des équipes métiers dans les BIA et les tests de PCA.
BIA, PCA, PRA : des mots connus, des pratiques souvent fragiles
Le Bilan d’Impacts sur les Activités est le point de départ de tout le dispositif. Et c’est aussi là que de nombreux établissements découvrent l’ampleur du chantier.
Réaliser un BIA, ce n’est pas lister des applications critiques. C’est :
- comprendre finement les processus de soins
- identifier les dépendances humaines, techniques, logistiques
- arbitrer ce qui doit absolument tenir, et ce qui peut dégrader
CaRE D2 impose un seuil clair : au moins 66 % de l’activité combinée doit être couverte. Cela oblige à faire des choix structurants, notamment dans les GHT peu mutualisés.
Le PCA et le PRA qui en découlent doivent ensuite dépasser le cadre IT. Ils intègrent les scénarios d’indisponibilité :
- numérique
- ressources humaines
- bâtiments
- fournisseurs
Deux scénarios minimum sont exigés, mais l’ANS recommande fortement de travailler les quatre. Le message est limpide : une crise ne respecte jamais le périmètre qu’on lui a assigné.
Source : ANS
Le test du PCA : là où tout devient concret
C’est probablement l’un des apports les plus salutaires de CaRE D2 : le test terrain du PCA devient un objectif à part entière.
Il ne s’agit plus d’un exercice de table ou d’un scénario théorique, mais bien d’une simulation en conditions réelles, impliquant les services, les métiers, parfois les directions.
Ce test permet de vérifier :
- la compréhension des procédures
- la coordination entre acteurs
- la capacité à basculer en mode dégradé
- la pertinence des hypothèses du PCA
Et surtout, il oblige à produire un RETEX, avec un plan d’amélioration. Autrement dit, à accepter que le premier test ne soit jamais parfait.
Les pièges classiques à éviter
À l’analyse des premiers retours terrain, plusieurs écueils se dessinent clairement.
Premier piège : réduire CaRE D2 à un projet technique. Une sauvegarde sécurisée sans organisation métier prête à fonctionner en mode dégradé reste une illusion de résilience.
Deuxième piège : sous-estimer la charge humaine. Les BIA, les ateliers métiers, les tests terrain prennent du temps. Beaucoup plus que prévu.
Troisième piège : produire des livrables “pour le financement”, sans réelle appropriation interne. Le contrôle existera, mais surtout, la prochaine crise ne regardera pas les justificatifs.
Enfin, croire que CaRE D2 est un projet ponctuel est sans doute l’erreur la plus coûteuse. La continuité d’activité est un processus vivant, pas un dossier à refermer.
La vision d’Ornisec : CaRE D2 comme levier de maturité durable
Chez Ornisec, nous voyons CaRE D2 non pas comme un dispositif de financement à “consommer”, mais comme une opportunité rare de structurer durablement la continuité d’activité en santé.
Notre expérience de terrain montre que les établissements qui tirent le plus de valeur de CaRE D2 sont ceux qui :
- articulent clairement gouvernance, métiers, qualité et SSI
- utilisent le BIA comme un outil de dialogue, pas comme un formulaire
- conçoivent le test du PCA comme un apprentissage collectif
La continuité d’activité ne se limite pas à survivre à une cyberattaque. Elle consiste à préserver la capacité de soigner, même en situation fortement dégradée.
C’est dans cette logique qu’Ornisec accompagne les établissements et les GHT : en tant que cabinet indépendant, spécialisé en cybersécurité et résilience, capable de faire le lien entre exigences réglementaires, contraintes opérationnelles et réalité du terrain hospitalier.
👉 Vous vous interrogez sur la trajectoire CaRE D2, les attentes de l’ANS ou la mise en œuvre concrète des BIA, PCA et tests terrain ?
Nos équipes échangent régulièrement avec les DSI, RSSI et directions qualité pour sécuriser ces démarches, dans une logique pragmatique et opérationnelle.
Parlons-en : contact@ornisec.com