D1 - Annuaires techniques et exposition sur internet

AXE 4 : D1 - Annuaires techniques et exposition sur internet

Fermeture du guichet de déclaration

Le guichet de déclaration d’atteinte des objectifs du premier appel à financement du plan CaRE a fermé le 30 juin 2025.

À la clôture du guichet, plus de 1 000 candidats ont déclaré avoir atteint les objectifs fixés, soit près de 90% des candidatures validées.

La phase d'instruction des dossiers est désormais en cours, menée séquentiellement par les ARS et l'ANS. Elle s'achèvera :

Le 30 septembre 2025 pour les ARS,
et le 31 décembre 2025 pour l'ANS.

Domaine 1 - Annuaires techniques et exposition sur internet

Le premier appel à financement du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maîtrisant leur exposition sur Internet et en consolidant la maîtrise des annuaires techniques. Les cyberattaques récentes montrent que l'exposition Internet est l'un des vecteurs principaux de pénétration par les attaquants dans le système d'information des établissements de santé.

L'Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d'infliger plus de dégâts.

Le premier appel à financement vise à :

atteindre un premier niveau de remédiation de l'exposition sur Internet ;
atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
se préparer au risque d'une cyberattaque ;
s'auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).

Pour en savoir plus sur l'arrêté du financement du domaine 1.

Vous pouvez également consulter les ressources documentaires de l'ANS sur le domaine en cliquant sur le bouton ci-dessous :

Consulter les ressources documentaires

Les services d'audit de l'ANSSI :

Service ADs Service SILENE

Quels sont les outils à utiliser pour l'atteinte des deux sous-objectifs du D1.O1 ?

Le service ADs mis à disposition par l'ANSSI doit être utilisé pour auditer les AD :

https://esante.gouv.fr/Fiche%20de%20pr%C3%A9sentation%20ADS

Que signifie l'atteinte d'un premier jalon dans les 18 mois pour la convergence des AD d'un GHT ?

Il est attendu une première réalisation concrète au bout de 18 mois avec des premières actions de convergence mises en œuvre.

Quelques exemples de 1ères réalisations concrètes (jalon à 18 mois) : mise en place d'une infrastructure commune pour deux domaines AD, migration de certains services ou utilisateurs vers une nouvelle infrastructure AD commune, création d'une stratégie de gestion des identités et des accès unifiés pour les domaines concernés.

Foire aux Questions (FAQ) :

Consulter la FAQ

En savoir +

Agence du Numérique en Santé