AMI cybersécurité - vague 3 - ARS Bretagne

Face à l’augmentation des risques cyber, la stratégie ministérielle pour la cybersécurité a été renforcée.
Dans ce contexte, l’ARS Bretagne et le Groupement Régional E-santé Bretagne organisent deux appels à manifestation d'intérêt dédiés aux ESMS Bretons :
- AMI axé sur la réalisation d'un exercice de gestion de crise cyber
- AMI axé sur la réalisation d'un cyberdiagnostic

Ces appels à manifestation d’intérêt sont répartis en 3 vagues. Les candidatures sont closes pour les vagues 1 et 2.
La vague 3 court de mars à décembre 2026 (10 mois d'accompagnement), avec :
–10 ESMS engagés dans un parcours exercice de crise
–10 ESMS engagés dans un parcours cyberdiagnostic
Parcours "Exercices de gestion de crise cybersécurité"
Le parcours "Exercices de gestion de crise cybersécurité" a pour principal but de permettre à la structure engagée d'évaluer sa capacité à poursuivre son activité de prise en charge des résidents dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impérativement impliquer la direction générale et les directions métiers de la structure engagée.

Ce parcours implique la structure engagée à réaliser sur 9 ou 10 mois :

• un exercice de gestion de crise cyber
• 2 campagnes de phishing
• 3 sessions de sensibilisation (e-learning)
• 1 session de sensibilisation en présentielle
• la diffusion en interne de 14 supports de sensibilisation à la cybersécurité

Afin que les structures retenues dans le cadre de cet appel à manifestation d'intérêt puissent être accompagnées par un prestataire, l’ARS Bretagne allouera une subvention forfaitaire de 5 000 € à celles qui auront réalisé le parcours dans son intégralité avant la fin de la vague sur laquelle elles se sont engagées.

Parcours "Cyberdiagnostic"
Le parcours "Cyberdiagnostic" a pour principal but de permettre à la structure engagée d'évaluer le niveau de maturité de la sécurité de son système d'information.

Ce parcours implique la structure engagée à réaliser sur 9 ou 10 mois :

• un cyberdiagnostic
• 2 campagnes de phishing
• 3 sessions de sensibilisation (e-learning)
• 1 session de sensibilisation en présentielle
• la diffusion en interne de 14 supports de sensibilisation à la cybersécurité

Afin que les structures retenues dans le cadre de cet appel à manifestation d'intérêt puissent être accompagnées par un prestataire, l’ARS Bretagne allouera une subvention forfaitaire de 3 000 € à celles qui auront réalisé le parcours dans son intégralité avant la fin de la vague sur laquelle elles se sont engagées.

Modalités de candidature

Vague 3 : mars 2026 - décembre 2026
Les structures concernées peuvent déposer leur candidatures aux deux AMI entre le 2 février 2026 et le 14 février 2026 minuit sur "démarches-simplifiées.fr".

L'instruction des candidatures par l'ARS Bretagne et l'information des structures candidates (retenues et non retenues) aura lieu jusqu'au 2 mars 2026.

Les candidats retenus devront impérativement avoir réalisé l'intégralité de leur parcours au plus tard le jeudi 31 novembre 2026 et avoir transmis par mail à l'ARS Bretagne ([email protected]) les éléments justificatifs suivants au plus tard le 31 décembre 2026.

Pour toute question, nous vous invitons à contacter [email protected]