Retour au blog
Cybersécurité Amélioration des pratiques
Publié le 14 novembre 2025 Modifié le 14 novembre 2025
Table des matières
Auteurs
  • VHMN – user icon
    Les experts Relyens
Temps de lecture : 14 minutes

PCRA : préserver les soins et la sécurité des patients

pcra

La mise en place d’un PCRA (Plan de Continuité et de Reprise d’Activité) est aujourd’hui un impératif pour les établissements sanitaires et médico-sociaux, face à la multiplication des cyberattaques, pannes ou crises techniques. Ce dispositif vise à garantir la continuité des soins et la sécurité des patients en cas d’incident majeur. Dans le cadre du programme CaRE, le Domaine 2 propose un financement public pour accompagner les établissements de santé dans l’élaboration, la mise en œuvre et le test de leur PCRA.

Les interruptions de service dues aux cyberattaques, aux pannes technologiques ou aux catastrophes naturelles sont de plus en plus fréquentes. Les établissements de santé et les établissements sanitaires et médico‑sociaux (ESMS) ont donc un impératif : assurer non seulement la continuité des soins, mais aussi la capacité de reprise après un incident. Le PCRA (Plan de Continuité et de Reprise d’Activité) est l’outil qui permet de structurer cette capacité. Et avec le programme CaRE, notamment son Domaine 2 – Stratégie de continuité et de reprise d’activité – des financements publics sont mis à disposition pour aider les établissements à construire, tester, sécuriser leurs PCRA.

Qu’est‑ce que le PCRA ?

Dans un contexte où les établissements sanitaires et médico-sociaux sont de plus en plus exposés aux ruptures de service informatique, disposer d’un dispositif structuré pour faire face aux interruptions devient indispensable. C’est précisément le rôle du PCRA, un outil central de résilience, souvent méconnu, et pourtant vital pour la continuité et la sécurité des soins.

Définition du PCRA

Le PCRA (Plan de Continuité et de Reprise d’Activité) est un document stratégique et opérationnel. Il décrit comment un établissement va à la fois continuer ses fonctions critiques en cas d’incident (volet “continuité”) et reprendre ses activités normales ou se remettre à niveau après l’incident (volet “reprise”). On y décrit les services indispensables, les enjeux des données de santé, les applications critiques, les moyens humains et techniques qui permettent de réduire le choc quand survient un accident (virus, panne, suppression de données, etc.).

On confond souvent le PCRA avec le PCA (Plan de Continuité d’Activité) ou PRA (Plan de Reprise d’Activité). Rien d’étonnant : le PCRA englobe ces deux notions. Il va cependant au‑delà, en structurant l’ensemble du dispositif, de la gouvernance à l’évaluation des impacts, des sauvegardes aux tests.

Pourquoi un PCRA est indispensable dans les ES et ESMS

Pour un établissement de santé ou médico‑social, les enjeux sont particulièrement élevés. Si un service critique s’arrête (soins, urgences, imagerie, pharmacie, laboratoire), les conséquences pour les patients peuvent être très graves, voire tragiques. Le PCRA diminue ces risques.

En cas de cyberattaque, les données ou les sauvegardes peuvent également être chiffrées ou détruites. Sans PCRA fiable, l’établissement peut perdre des informations vitales ou avoir des retards dans la reprise des soins. Le PCRA permet donc de préserver la confiance des patients, des autorités de santé, des partenaires. Il montre que l’établissement est préparé, qu’il a anticipé les crises possibles.

Enfin, légalement, les obligations croissantes qui pèsent sur les ES et ESMS réclament un PCRA robuste. Celui-ci préserve des sanctions, des pertes financières ou des difficultés pour obtenir des fonds publics.

Le programme CaRE et le Domaine 2 : ce qu’ils apportent concrètement

Le programme CaRE (Cybersécurité Accélération et Résilience des Établissements) (2) est une initiative nationale française. Il vise à renforcer la cybersécurité et la résilience des établissements de santé, et ses effets touchent aussi le secteur médico‑social progressivement. Le Domaine 2, ou « axe 2 » du programme (3) est spécifiquement dédié à la stratégie de continuité et de reprise d’activité.

Arrêté officiel et enveloppe de financement

L’arrêté du 3 juillet 2025, publié au Journal Officiel le 16 juillet 2025 (4), lance l’appel à financement pour le Domaine 2 intitulé “Stratégie de continuité et de reprise d’activité”. Cet appel à financement est doté d’une enveloppe de 45 millions d’euros pour l’année 2025, ciblé sur les établissements de santé. Le guichet de candidature est ouvert du 2 septembre au 31 octobre 2025 (5) pour les établissements de santé.

Objectifs concrets visés par le Domaine 2

L’arrêté détaille plusieurs objectifs à atteindre, qui structurent ce qu’un bon PCRA doit couvrir :

  • Intégrer la continuité et la reprise d’activité dans la gouvernance de l’établissement. Cela suppose de formaliser le plan PCRA, de réaliser des bilans d’impacts sur l’activité, d’identifier les services essentiels, les applications critiques, etc.
  • Définir, documenter, tenir à jour la politique de sauvegarde et restauration : ce ne sont pas juste des sauvegardes techniques, mais une politique formelle, écrite, qui couvre les données internes et externes, les flux, les contrats externes (cloud, prestataires), etc.
  • Construire un système de sauvegarde sécurisé : cela peut inclure des sauvegardes isolées (non vulnérables aux attaques), des copies non contaminables, des sauvegardes sur site/ hors site, etc.
  • Tester la sauvegarde et la restauration : faire des exercices, des simulations, des tests réels, des retours d’expérience (RETEX) (6) après tests pour s’améliorer.

Éligibilité : qui peut bénéficier du programme CaRE pour son PCRA ?

Pour déposer un dossier de demande de financement dans le cadre du Domaine 2, les établissements de santé doivent satisfaire à des critères précis. L’Arrêté du 18 mars 2024 (7) les détaille, notamment en annexes. Voici néanmoins les indispensables à respecter :

Critères institutionnels

Les critères suivants garantissent la maturité de l’organisation en matière de cybersécurité et la cohérence du projet avec les objectifs nationaux de résilience numérique :

  • Être un établissement de santé de droit public ou privé, disposant d’une autorisation à jour, délivrée par une Agence régionale de santé, pour exercer en tant qu’établissement de santé.
  • Avoir une activité non nulle dans le cadre du Programme de médicalisation des systèmes d’information (PMSI, 8) en termes de séjours hospitaliers.
  • Disposer d’un identifiant FINESS (9), dans certaines catégories, selon que l’établissement est juridiquement ou géographiquement situé, etc.

 

Prérequis techniques et organisationnels

Avant de pouvoir obtenir le financement, il faut :

  • Avoir une Politique de Sécurité des Systèmes d’Information (PSSI, 10) formalisée et à jour, c’est‑à‑dire validée et revue au cours des 36 mois précédant la publication de l’arrêté.
  • Décrire l’organisation prévue pour monter et maintenir le PCRA : qui pilote, quelle gouvernance, quelles équipes, les rôles, etc.

Comment monter un dossier solide pour faire financer son PCRA par le programme CaRE ?

Voici un guide pas à pas pour que le dossier de demande de financement soit robuste, bien construit, et maximise les chances d’obtention.

Étape 1 : Diagnostic et bilan d’impacts

Commencez par identifier les services, applications, données, processus qui, s’ils étaient interrompus, mettraient en danger les soins, la sécurité des patients ou le fonctionnement de l’établissement. Cela peut inclure urgences, imagerie, biologie, pharmacie, système administratif, etc. On appelle cela le bilan d’impacts sur l’activité (BIA). Il s’agit d’une des recommandations phares de l’Agence Numérique de la Santé en matière de PCRA (11).

Ensuite, priorisez ces services selon leur criticité et la probabilité d’incident. Cela vous permet de définir les périmètres du PCRA (ce qu’on va absolument sécuriser / sauvegarder, tester, etc.).

Étape 2 : Définition de la politique de sauvegarde / restauration

Formalisez une politique claire de sauvegarde, avec des règles formelles :

  • quelles données / applications doivent être sauvegardées, à quelle fréquence,
  • où seront stockées les sauvegardes (local / hors site / cloud),
  • comment vous garantissez que ces sauvegardes ne seront pas contaminées (ex : isolement),
  • comment vous vous assurez de leur restaurabilité, c’est‑à‑dire du fait qu’on peut reprendre les données et l’activité à partir de la sauvegarde.

Il faut que cette politique soit mise à jour régulièrement. Il convient aussi qu’elle englobe les prestataires externes, si vous utilisez des services cloud ou SaaS.

Étape 3 : Tests, exercices et amélioration

Avoir des sauvegardes, c’est bien ; s’assurer qu’on peut les restaurer, c’est crucial. Il faut prévoir :

  • au moins un exercice terrain de mise en œuvre du PCA sur un périmètre défini, durant la période opérationnelle de l’appel à financement.
  • un planning pour d’autres tests / exercices selon vos priorités. Les tests doivent être documentés, avec un retour d’expérience (ce qui a bien fonctionné, ce qui n’a pas fonctionné, quelles améliorations sont nécessaires).

Dépenses éligibles : ce que vous pouvez financer & ce qu’il faut éviter

Quand on obtient le financement de son PCRA, il est essentiel de savoir quelles dépenses seront acceptées par l’Agence du Numérique en Santé, ANS (12). Objectif : ne pas engager des coûts non remboursables, ou qui risquent d’être refusés.

Dépenses éligibles au Programme CaRE

Voici ce que l’appel à financement du Domaine 2 du Programme CaRE permet de financer, à ce jour :

  • coûts liés à la rédaction du PCRA / PCA / PRA (phase de conception, définition, documentation) ;
  • prestations externes : audit, conseil, ingénierie pour construire le plan, pour préparer les tests, pour la supervision des sauvegardes/restaurations, etc.
  • outils techniques : solutions de sauvegarde / restauration, dispositifs de stockage sécurisé.
  • coûts internes liés à la mise en œuvre : ressources humaines mobilisées, formation du personnel sur les protocoles de continuité, procédures de reprise, etc.
  • documentation, guides, ateliers PCRA, etc., pour préparer, formaliser, piloter le PCRA.

Ce qui est non‑éligible à CaRE ou sujet à vigilance

Les dépenses réalisées avant la publication de l’arrêté ne peuvent généralement pas être financées rétroactivement. Il faut que les actions soient engagées après la publication.

Les projets ou actions déjà couverts ailleurs dans le cadre du financement de votre PCRA peuvent ne pas être cumulables. Vérifiez que votre demande ne double pas un financement existant.

Par ailleurs, les coûts qui ne sont pas justifiés par devis ou pièces justificatives formelles ont peu de chance d’être couverts par le Programme CaRE.

Enfin, les dépenses non liées aux objectifs définis dans l’arrêté (par exemple des dépenses techniques très périphériques ou non liées à la continuité ou la reprise de l’activité) risquent d’être jugées non éligibles.

L’ANS a annoncé bientôt mettre en ligne une trame de justification des coûts (13).

Conseils pour réussir le dossier de demande de financement de son PCRA

Ce financement gouvernemental est une opportunité, mais il requiert de la rigueur. Voici quelques conseils pratiques pour maximiser vos chances.

Mobiliser la gouvernance de l’établissement dès le départ

Désignez un responsable PCRA au sein de l’établissement. Assurez-vous aussi que la direction est engagée, que la gouvernance est formalisée. Sans un portage fort, les dossiers manquent souvent de crédibilité.

Vérifiez que la PSSI est à jour, validée. Pour les établissements de santé, elle doit être revue dans les 36 mois précédant l’arrêté. Préparez les bilans d’impacts et identifiez les périmètres critiques. N’hésitez pas à mobiliser les équipes internes sur ce projet, qui va devenir une constante de vos activités.

Planifier les actions PCRA et le budget

Établissez un plan de travail clair : conception, documentation, mise en place technique, tests. Affectez les ressources humaines (personnel, éventuellement expert externe), et choisissez les solutions techniques (sauvegardes, restauration, isolation) ? Commencez à récolter les premiers devis prestataires.

Tracez également un calendrier réaliste pour chaque étape (préparation, test, retour d’expérience). Assurez-vous que les supports / documents requis (politique de sauvegarde, schéma d’architecture, BIA, rapports d’exercice) sont prêts au moment du dépôt.

Utiliser les ressources mises à disposition

Le ministère / l’ANS fournissent des aides pour déployer votre PCRA :

  • le kit PCRA (14);
  • le guide des prérequis et objectifs du Domaine 1 (15);
  • les Centres Régionaux des Ressources Cyber (CRRC) pour un accompagnement local.

Documenter, tester, améliorer votre stratégie PCRA

Un bon PCRA ne se contente pas d’un document sur papier. Il faut tester, faire des exercices, simuler, documenter les restaurations. L’ANS attend que vous en tiriez des enseignements, que vous corrigiez les faiblesses. Ces retours d’expérience sont souvent exigés dans les objectifs du dossier.

Se faire accompagner dans la réalisation et le financement du PCRA

Les appels à projets CaRE ont des délais stricts et courts. Un accompagnement expert permet d’accélérer la structuration du projet, d’éviter les erreurs bloquantes et de déposer un dossier complet à temps. C’est aussi un moyen de bénéficier d’une expertise sur les normes relatives au PSSI, au BIA, aux tests de restauration. Les experts savent comment aligner le projet sur les attendus de l’ANS pour augmenter la crédibilité de votre dossier.

Être accompagné dans la construction de son PCRA, c’est aussi s’assurer de bâtir un plan réaliste, fondé sur les vraies vulnérabilités de l’établissement. Avec des scénarios, des tests, des procédures et une gouvernance solide.

Relyens propose un accompagnement complet et modulable au PCRA, en mobilisant un duo d’experts cybersécurité et risques métiers en santé. Notre approche transversale implique l’ensemble de vos services pour bâtir un plan ancré dans vos réalités terrain.

  • Alignement avec les référentiels et objectifs portés par l’Agence du Numérique en Santé ;
  • Accès aux financements du programme CaRe ;
  • Démarche intégrée à vos dispositifs de gouvernance -Plans opérationnels, documentés et testés.
Contactez-nous
pcra-cta
pcra-cta

Ce que cela change pour les patients et la sécurité des soins

Quand un établissement de santé ou ESMS met en place un PCRA bien conçu, testé et financé :

  • Les patients bénéficient d’une continuité des soins, même en cas de cyberattaque ou de panne. Les services vitaux ne s’interrompent pas, ou redémarrent rapidement.
  • La sécurité des données s’améliore : sauvegardes fiables, restauration possible. Le risque de perte ou d’altération est plus faible.
  • Le personnel sait ce qu’il doit faire en cas d’incident. Les responsabilités sont claires, les procédures existent. Cela réduit le stress, les erreurs, voire le chaos au moment critique.
  • La structure gagne en crédibilité auprès des autorités sanitaires, des financeurs, et de ses partenaires. Elle est mieux placée pour se conformer aux obligations légales (cybersécurité, gouvernance, etc.).

Conclusion : agir dès aujourd’hui pour ne pas subir votre PCRA demain

Le PCRA n’est pas une option secondaire pour un ÉTABLISSEMENT. C’est la condition pour assurer que les soins essentiels et la sécurité du patient ne soient pas suspendus dans un moment de crise.

Si vous êtes responsable dans un établissement sanitaire ou médico‑social, posez-vous ces questions aujourd’hui : que feriez-vous si votre système informatique était coupé demain ? Quels sont les services vitaux ? Quels sont les sauvegardes réellement fiables ?

Ressources officielles

  1. PCRA (Plan de Continuité et de Reprise d’Activité)
  2. Programme CaRE (Cybersécurité Accélération et Résilience des Établissements)
  3. Domaine 2, ou «axe 2 » du programme
  4. Arrêté du 3 juillet 2025, publié au Journal Officiel le 16 juillet 2025
  5. Guichet de candidature
  6. Retour d’expérience (RETEX)
  7. Arrêté du 18 mars 2024 avec les critères d’éligibilité à CaRE
  8. PMSI
  9. Répertoire FINESS
  10. PSSI
  11. Programme CaRE, axe 1 : Gouvernance et résilience
  12. Agence du Numérique en Santé, ANS
  13. Annonce ANS concernant la trame de justification des coûts
  14. Kit PCRA de l’ANS

Guide des prérequis et objectifs du Domaine 1

FAQ

Le PCRA (Plan de Continuité et de Reprise d’Activité) est un dispositif stratégique qui permet à un établissement de maintenir ses activités critiques (PCA) et de reprendre son fonctionnement normal (PRA) après un incident : cyberattaque, panne, sinistre, etc. Il vise à assurer la sécurité des soins, la protection des données et la résilience des services.

Un incident numérique ou technique peut compromettre la prise en charge des patients, l’accès aux dossiers médicaux, les examens ou les prescriptions. Le PCRA permet d’anticiper ces risques, de définir des réponses concrètes et de garantir la continuité des soins, même en situation de crise. Il devient aussi un levier de conformité réglementaire et un critère d’éligibilité aux financements publics.

L’appel à financement ouvert en 2025 concerne les établissements de santé, publics ou privés, disposant d’une activité hospitalière enregistrée (PMSI) et d’une PSSI à jour. Le secteur médico-social n’est pas encore inclus dans ce guichet, mais une extension est attendue à moyen terme.

Les financements couvrent :

  • la formalisation du PCRA, y compris le diagnostic, la rédaction, les bilans d’impact,
  • la mise en place de politiques de sauvegarde/restauration,
  • l’achat d’outils techniques (systèmes de sauvegarde, matériel de redondance),
  • la réalisation d’exercices de test du plan (simulations, retours d’expérience),
  • les prestations externes d’expertise ou de conseil,
  • la formation du personnel impliqué dans la gestion de crise.

Le dépôt s’effectue via le portail de l’ANS, entre le 2 septembre et le 31 octobre 2025. Le dossier doit comprendre :

  • une PSSI formalisée et validée depuis moins de 36 mois,
  • une description de l’organisation PCRA envisagée,
  • un plan d’action détaillé,
  • les devis estimatifs des dépenses prévues,

et, dans certains cas, la preuve d’un exercice de test prévu ou réalisé.

Sans PCRA, un établissement peut perdre l’accès à ses outils numériques critiques (DPI, imagerie, messagerie sécurisée), être incapable de restaurer ses données après une cyberattaque, interrompre ses soins, exposer les patients à des risques de sécurité ou de prise en charge, faire face à une perte de confiance de ses partenaires, voire à des sanctions réglementaires.

Il n’existe pas à ce jour d’obligation explicite imposant un PCRA dans tous les ÉTABLISSEMENT. Cependant, plusieurs textes (dont la directive NIS2, les exigences de l’ANS ou les cahiers des charges du programme CaRE) le rendent indispensable en pratique.

Oui, le PCRA est utile pour les petits établissements. Quelle que soit la taille, un arrêt brutal des systèmes numériques (logiciels métiers, accès aux soins, prescriptions) peut avoir des conséquences graves. Le PCRA s’adapte à la taille de la structure : il peut être plus simple, mais doit exister. Le programme CaRE est là pour accompagner même les structures modestes dans cette mise en place.

  • PCA : Plan de Continuité d’Activité – assure la poursuite des fonctions critiques pendant la crise.
  • PRA : Plan de Reprise d’Activité – permet de redémarrer après la crise.
  • PCRA : intègre les deux dans une stratégie globale, structurée et gouvernée.

Articles similaires

Toutes les publications
cyberattaque par rançongiciel
Cybersécurité Analyse de risque Protection Data technique & innovation

Comment la cyberattaque par rançongiciel impacte-t-elle les établissements de santé ?

il y a 2 ansDéjà lu
Médecin sur tablette cadenas
Cybersécurité Analyse de risque Protection Data technique & innovation

Etablissement de santé : comment évaluer votre exposition au risque cyber ?

il y a 2 ansDéjà lu
PCRA : préserver les soins et la sécurité des patients
Cybersécurité Analyse de risque Gestion des sinistres / réclamations

Le risque cyber en établissement de santé : d’où provient la menace ?

il y a 1 semaineDéjà lu