Les établissements continuent à être la cible d’attaques informatiques, touchant aussi bien le secteur sanitaire que le médico-social. Ce risque croissant depuis plusieurs années s’est encore renforcé en raison des tensions internationales. L’augmentation de l’usage du numérique dans la santé augmente l’exposition des établissements du secteur aux cyberattaques, plaçant ainsi la santé dans le top 5 des secteurs les plus touchés.

L’impact de ces attaques est considérable. Elles entraînent des coûts importants pour remettre en service les SI en mobilisant prestataires et éditeurs. Elles mobilisent jour et nuit des équipes techniques mais aussi métiers, sans compter les impacts sur la disponibilité de l’offre de soins et en conséquence les pertes de chance.

La cybersécurité nécessite aujourd'hui un investissement certes important mais qui se révèlera rentable en évitant les incidents ou en minimisant leurs impacts.

Cet engagement est d’autant plus nécessaire que le domaine de la santé hérite d'une dette technique dans le numérique et dans la cybersécurité : nous devons donc réaliser un effort particulier pour rattraper ce retard.

Organisé par l'Agence Régionale de Santé Bretagne et le Groupement Régional E-santé Bretagne, cet appel à manifestation d'intérêt (Vague 3) s'inscrit dans le cadre du financement d'un parcours cybersécurité axé sur la réalisation d'un diagnostic cybersécurité au profit des établissements médico-sociaux bretons.

Cet appel à manifestation d'intérêt (Vague 3) s'adresse à tous les organismes gestionnaires des ESMS bretons, de droit public ou privé, qui disposent d’une autorisation à jour, délivrée par l’ARS Bretagne, leur permettant d’exercer en tant qu’établissement médico-social.

Ces dispositions s'appliquent uniquement aux départements Bretons : Cotes d'Armor, Finistère, Ille et vilaine et Morbihan.

La phase de candidature est fixée sur deux semaines entre le lundi 2 février 2026 à 16h et le vendredi 13 février 2026 à 23h59.

La phase d'instruction et de sélection des candidatures par l'ARS Bretagne aura lieu entre le 16 février et le 2 mars 2026; les structures retenues seront notifiées officiellement le 2 mars 2026.

Les organismes gestionnaires dont la candidature aura été retenue s'engagent à réaliser le parcours cyber correspondant dans son intégralité au plus tard le lundi 30 novembre 2026, à désigner un référent interne à leur structure qui sera en charge de sa réalisation et à adhérer au groupement régional e-santé bretagne afin que celui-ci soit en mesure de verser les financements prévus.

Ainsi, les structures adhérentes au GRADeS e-santé bretagne pourront bénéficier du marché cyber-résilience notifié en octobre 2023 qui leur permettra de disposer de prestations à prix négociés et fixes, avec l’assurance de bénéficier de l’expertise de prestataires qualifiés.