Un exercice de crise doit être réalisé dans chaque Entité Juridique (EJ) du GHT pour répondre à l'objectif D1.O3. Cependant un exercice réalisé au niveau d'un GHT impliquant plusieurs EJ pourra valider cet objectif à condition que les directions des EJ concernées aient été impliquées dans cet exercice et que le SI de ces soit convergé.

Les exercices de crise peuvent être menés en interne sans appel à de la prestation extérieure. L'établissement devra cependant fournir la preuve de la tenue de cet exercice (scénario, RETEX post exercice…) pour valider l'objectif D1.O3.

Nous souhaitons progresser par étape et demander aux établissements candidats d'être en mesure de calculer la part du numérique au global.
Pour les prochains domaines, il est possible que cet objectif devienne plus précis et concerne la part dédiée à la cyber avec une cible à atteindre.

La méthodologie de calcul est explicitée dans le guide des prérequis et des objectifs prochainement publié sur le site de l'ANS. 
Elle s'appuie notamment sur la Note d’information n° DGOS/PF2/2019/207 du 26 septembre 2019 relative à la définition et au suivi des ressources et des charges des systèmes d’information hospitaliers.

Dans le cadre de ce premier appel à financement qui a une durée courte (1 an), il nous a paru préférable d'être un peu moins ambitieux et de demander aux établissements d'être en mesure dans un premier temps de connaitre la part du numérique dans leur budget. Il n'est pas exclu que cette métrique soit demandée dans un prochain domaine.

"Dans le cadre de l'objectif D1.O6 (spécifique aux GHT), il est demandé de définir et de documenter une trajectoire de convergence des infrastructures AD. 
Ce document comprend un planning projet prévoyant une trajectoire de convergence de l’infrastructure AD à une échéance maximale de 18 mois post appel à financement D1, les modalités organisationnelles devant être mises en œuvre (existence d’un responsable et mutualisation des équipes SI dédiées à ces sujets) et le budget prévisionnel étant nécessaire au projet."

L'objectif est de ce fait validé sans action supplémentaire nécessaire si tous les AD du GHT sont bien convergés. Dans ce cas, le GHT devra fournir la description de son infrastructure AD convergé comme justificatif de l'atteinte de l'objectif D1.O6.B.

L'objectif D1.O6 ne demande pas de réaliser la convergence mais de construire et documenter la trajectoire menant à cette convergence. Celle-ci concerne bien tous les AD du GHT.

Le calcul des ETP ne concerne que les ressources internes à l'ES. Dans la cas d'un contrat d'infogérance, l'ES pourra justifier des travaux engagés sur la base des commandes et factures fournies par cette société. Celles-ci devront être comprise entre la date de publication de l'arrêté (22 mars 2024) et la date de déclaration d'atteinte des objectifs par l'ES.

Les ES hors GHT ou les GHT vont candidater auprès de leur ARS à travers un guichet de candidature national. Les ARS vont centraliser l’ensemble des dossiers et vérifier leur complétude avant de les communiquer à l’ANS.

Les candidatures pour les établissements privés doivent être réalisées au niveau des entités juridiques (EJ) pour l'ensemble des ses entités géographiques (EG). La candidature sera instruite par l'ARS de référence de l'entité juridique.

Une fusion entre ESPIC conduit à la création d'une nouvelle entité juridique (EJ). La candidature devra alors être réalisée par cette EJ.

Les HIA sont éligibles au programme CaRE.

Les pièces justificatives sensibles devront être transmises via la plateforme sécurisée eCARE en utilisant un conteneur ZED (solution validée par le FSSI). Le webinaire du 16 juillet détaille la procédure pour créer ces conteneurs.

Pour un GHT, les prérequis doivent être atteints obligatoirement par : 

• l'ES support du GHT,
• au moins 2 EJ dont l'activité combinée couvre 90% de l'activité combinée du GHT.

L'ANS va réaliser des opérations de contrôle (techniques et financiers) afin de vérifier la bonne atteinte des objectifs par les établissements. Ces opérations se dérouleront par une étude des pièces transmises par l'établissement en amont, complétée si besoin par des entretiens avec l'établissement.

Dans l'ordre : 

• Un premier niveau de vérification sera réalisé par les ARS (complétude du dossier). 
• Un second niveau de vérification sera réalisé par l’ANS (opérations de contrôle sur la vérification de l’atteinte des objectifs).

Le webinaire du 16 juillet détaille le contenu de ces contrôles.

Les ESMS ne sont pas objectivés dans le cadre du D1, leurs annuaires ne font donc pas partie du périmètre des AD dont l'audit est demandé, et donc pris en compte dans l'atteinte de l'objectif, mais il est tout à fait souhaitable que les EHPADs qui sont suffisamment matures puissent bénéficier des actions engagées pour les établissements sanitaires du GHT.

L’appel à financement sera publié sur le site de l’ANS, et vous pourrez candidater selon la procédure qui vous sera communiquée. Un guichet (eCaRE) sera ouvert dont les modalités seront précisées ultérieurement.

Oui, c'est la période durant laquelle un établissement candidat travaille à l'atteinte des objectifs du D1.
Cependant rien n'empêche un établissement de travailler sur ses objectifs avant d'avoir officiellement candidaté.

Le guide détaillé des prérequis et objectifs du D1 ainsi que la matrice des forfaits alloués au établissements candidats vont être publiés très prochainement sur le site de l'ANS.

C'est un des objectifs du modèle proposé pour ce domaine.

Le versement des financements est effectivement lié à l'atteinte d'objectifs propres à chaque domaine. Pour le D1, il faudra valider les prérequis et répondre à l’ensemble des objectifs fixés (qui seront publiés dans l’arrêté). 

Une étude économique a été réalisée afin de s'assurer que les financements couvriront les dépenses nécessaires à l’atteinte des objectifs du D1, notamment : 
- La mise en place d’audits sur les AD et l’exposition sur internet 
- Les actions de remédiation associées pour atteindre un certain score sur l’AD et l’absence de vulnérabilité critique sur Internet. 

Au moment où L'ES candidat déclarera l'atteinte de ses objectifs, il devra transmettre un bilan financier des frais réellement engagés. Le financements alloué correspondra à ce montant dans la limite du montant "plafond" prévu pour cet ES.  

Les ES devront atteindre l'ensemble des objectifs fixés. 

Les montants plafonds auxquels les ES candidats sont éligibles sont publiés sur le site de l'ANS.

Le programme CaRE concerne l’ensemble des établissements de santé indépendamment de leur typologie. Le montant des forfaits dépend essentiellement de la composition de la structure (nombre d'établissements) et dans une part moindre de l'activité combinée. 
Il faut noter qu'il s'agit de montants "plafonds" et que les ES seront financés à hauteur des frais réellement engagés dans la limite de ce plafond. 
Il faut également noter que ce modèle est spécifique du premier appel à financement, et qu'il ne présume pas des modèles des financements ultérieurs.

Le forfait est bien global pour le GHT et non propre à chaque EJ qu’il comporte. L’ES support portera la candidature pour l’ensemble du GHT.

Non, il s'agit d'un financement global conditionné à l'atteinte de l'ensemble des objectifs.

Le financement des établissements étant réalisé au travers des appels à financement relatifs à chacun des domaines, il n'est pas possible de pré-identifier une telle ventilation par GHT.

Il n’y a pas d'amorçage financier pour le D1. Le sujet reste à l'étude pour les autres domaines.

L'appel à financement du D1 prend en charge les travaux réalisés entre la date de publication de l'arrêté (22 mars 2024) et la date de déclaration de l'atteinte des objectifs par l'ES.

Ces travaux peuvent être réalisés en interne ou par l'appui de ressources externes.

Seules les actions réellement effectuées permettant l'atteinte des objectifs du D1 pourront être déclarées et financées. Ces actions devront être réalisées entre la date de publication de l'arrêté (22 mars 2024) et la date de déclaration de l'atteinte des objectifs par l'ES

Les financements sont complémentaires à SUN-ES, il est donc possible de candidater aux deux programmes.

Aujourd’hui, il n’existe aucune exclusion pour l’appel à financement, la règle est qu’il faut que les actions financées n'aient pas déjà été financées par un autre programme. 

L'ARS Occitanie a fait le choix d'arbitrer un financement important en faveur de la cybersécurité, en fonction des éléments de contexte qu'elle a en visibilité sur les établissements de son territoire. D'autre actions sont traitées de manière nationale (comme les objectifs des CPOM ou la création des CRRC). 

Le montant des montants "plafonds" alloués aux ES (si atteinte des objectifs) va être prochainement publié sur le site de l'ANS (comme ce qui avait été fait pour SUN-ES). Cette enveloppe est proportionnelle à l'activité combinée et au nombre d'établissements d’un candidat (nombre d’EJ dans un GHT, nombre d’EG dans un EJ).

La Task Force en charge de la construction du programme a produit un cahier des charges explicitant les attendus pour l'audit d'exposition internet. 
En parallèle, elle a travaillé avec les représentants des industriels et les centrales d'achat pour garantir la mise à disposition d'offres en adéquation pour des coûts compatibles avec les forfaits du D1.

Oradad est ouvert à tous les ES y compris privés pour toute la durée du programme CaRE (pour les objectifs D1.O1.A et D1.O1.B); idem pour SILENE (pour l'objectif D1.O2.A uniquement).

Les certifications ISO 27001 et HDS ne sont pas objectivés dans le cadre du D1.

Le cahier des charges est publié sur le site de l'ANS.

Oui, bien sûr. La fréquence des audits permet à l'établissement de mesurer les progrès réalisés et de s'assurer du maintien dans le temps du niveau atteint.

Uniquement si elle respecte les exigences du cahier des charges du CERT-Santé : périmètre audité, cotation des vulnérabilités détectées, rapports produits et remontée d'informations vers la national. Ces rapports doivent être produits tous les deux mois. (cf cahier des charges)

La plateforme cybersurveillance n'est pas une plateforme D1 compatible. Vous pouvez toutefois réaliser cet audit en complément d'un audit DI compatible.

L'établissement est libre de choisir et de contractualiser avec un industriel qui propose une solution respectant le Cahier des Charges.

Non, dans la mesure où son infrastructure n'est pas opérée par l'établissement. En revanche, si un point d'accès existe entre l'application et le SIH (VPN, API,...), celui-ci fait partie du périmètre. 

Tout ce que l'établissement expose sur internet doit être inclus dans le périmètre d'audit. Si un site internet est hébergé par l'établissement, même sans lien avec le reste du SI, il fait partie de l'exposition internet. Si c'est un site web externe auquel les équipes n'ont aucun accès, dans ce cas il pourrait être exclu du périmètre mais il faudra le justifier lors de la fourniture des rapports de l'audit.

Pas à ce stade, l'objectif est bien d'atteindre un score de 2.

Un logiciel de ce type ne fait pas partie du périmètre audité dans le cadre du D1. Mais pour répondre sur le fond, les dispositions d'audit des plateformes de ce type doivent être couvertes contractuellement entre les parties.

La réalisation de l’audit est obligatoire pour prétendre aux financements du D1. Nous rappelons que l'intérêt de cet audit est que la sécurité de l'AD est souvent mise en cause lors des attaques, quel que soit le domaine d'activité. De plus, le DPI n’est pas le seul élément du SIH contenant des données sensibles.

Seul le service ADS de l'ANSSI permettra de valider l'objectif D1.O1.

Les priorités ne dépendent pas des axes du plan d'action mais des thématiques/sujets identifiés par la Task Force comme prioritaires.

Les éléments numérotés D1.01, D1.O2... sont des objectifs du domaine 1 qui appartient à l'axe 4 de la FDR CaRE (Sécurité opérationnelle des Etablissements).

Non il n'est pas prévu de Task Force dédiée en cas de cyberattaque. L'appui aux ES concernés relève du rôle du CERT-FR et du CERT Santé.

Seule la détection d'une vulnérabilité de niveau critique (niveau rouge CVSS > 9) sur les 2 derniers audits successifs d'exposition internet est bloquante pour l'atteinte de l'objectif D1.O2.B.  
La détection d'une vulnérabilité de niveau haute (niveau orange CVSS comprise entre 7 et 9) n'est pas rédhibitoire. Elle doit cependant être corrigée avant le prochain audit.
Vous pouvez vous référer au guide détaillé des prérequis et des objectifs.

Il est interdit d’utiliser une clé de chiffrement symétrique unique commune à tous les badges et les terminaux (car trop peu sécurisée). Il est donc obligatoire d’utiliser une clé unique au sein de chaque badge, qui peut être 
diversifiée d’une clé maitresse commune et sécurisée. De plus, il est imposé d’utiliser une solution de type Key Management System (KMS) propre à l’établissement qui contient l’ensemble des clés symétriques et/ou la clé 
maîtresse à partir de laquelle le KMS diversifie une clé fille propre à chaque carte et qui est encodée dans la puce DESFIRE de la carte lors de son enrôlement dans le système. Il s’agit ici d’une application DESFire locale et propre à l’établissement non fournie par l’ANS.
En plus de la gestion des clés cryptographiques et des cartes physiques, il convient de définir des processus d’encodage/enrôlement des cartes. Ces trois dimensions peuvent être définies et contractualisées entre 
l’établissement utilisateur et l’éditeur/intégrateur offrant le service.
Cette solution ne s’adresse a priori qu’à des configurations s’appuyant sur des solutions d’IAM/SSO.

Un projet mettant en œuvre une authentification reposant sur la technologie TPM est tout à fait envisageable dans le cadre de l’appel à projets.

Les modalités d’homologation de moyens d’identification électronique par un fournisseur de service numérique en santé, solution proposée par le référentiel d'identification électronique en alternative aux moyens sectoriels 
(carte CPx, e-CPS) sont explicitées dans le Guide pratique organisationnel PGSSI-S disponible à cette adresse.

Dans le cadre de l’appel à projets Alpha, l’atteinte des objectifs fixés ne requiert pas d’avoir finalisé la démarche d’homologation du MIE.
Il sera néanmoins envisageable d’accompagner les établissements sélectionnés souhaitant réaliser cette démarche, dans le cadre de leur projet.
Le cas échéant, la dimension d’homologation donnera probablement lieu à une séquence dédiée dans le projet, en vérifiant préalablement que le MIE choisi réponde aux besoins.

Le face à face, comme alternative à l’utilisation d’un MIE conforme lors d’une procédure à distance (ex : France Connect+) est requis pour la délivrance ou l’activation du MIE, mais pas nécessairement pour la création de 
l'identité numérique. A cette étape de la création de l'identité numérique dans le répertoire local, il n'est donc pas obligatoire qu'il y ait un face à face. 

C'est au moment de la remise ou de l’activation du MIE qu'il faut s'assurer que les codes secrets sont remis à la personne qui correspond à cette identité (ou que l’on active localement ce MIE dans le cas d’un MIE national). La rédaction dans le cahier des charges a été faite dans une logique où la création de l'identité numérique et la remise du MIE est réalisée dans le même temps. Dans une cible de délivrance/activation du MIE sectoriel e-santé à partir d'un MIE substantiel (FC+), le MIE sectoriel serait lui-même de niveau de garantie substantiel et la vérification d'identité est induite.

Les établissements et services sociaux et médico-sociaux sont concernés par cet appel à projet, au même titre que les établissements sanitaires.

Le lancement du dispositif de généralisation est prévu à horizon 2025.

Dans le cadre de l'AAP Alpha, la candidature doit se faire à la maille de l’entité juridique FINESS EJ (établissement ou groupe d’établissements).
Une candidature doit donc être réalisée pour chaque entité juridique souhaitant participer à l'AAP.
Une candidature à l'échelle d'un GHT ou d'un ensemble d'EJ n'est donc pas possible.

Oui, les établissements et services sociaux et médicaux-sociaux bénéficiant déjà d’une subvention ESMS numérique peuvent bénéficier du financement HospiConnect Alpha.
Les éventuelles recettes perçues dans le cadre d'autres financements pour des dépenses déclarées dans l'annexe « Déclaration des coûts du projet » devront être déclarées dans ce même document.

Oui, à condition que ce projet réponde aux objectifs décrits dans le cahier des charges de l’AAP alpha HospiConnect. Le montant des financements qui sera alloué aux lauréats sera calculé à partir de la déclaration des coûts réellement engagés à partir du 1er janvier 2024 jusqu’à la déclaration d’atteinte de l’objectif retenu dans le cadre de la candidature, dans la limite du plafond.

Oui, les établissements bénéficiant de France Relance peuvent bénéficier du financement HospiConnect Alpha. Les éventuelles recettes perçues dans le cadre d'autres financements pour des dépenses déclarées dans l'annexe « Déclaration des coûts du projet » devront être déclarées dans ce même document.

L’un des objectifs de l’appel à projets Alpha est d’identifier les professionnels utilisateurs de services numériques sensibles non éligibles aujourd’hui à l’enregistrement au RPPS. Dans le cas des salariés non-utilisateurs de services numériques sensibles, il pourrait être intéressant de suivre  des projets mettant en jeu des dispositifs s’appuyant sur des technologies embarquées dans la CPS (FIDO2,  MiFare DESFIRE) afin de tester des configurations en mixité de MIE (CPS et cartes standard) mais basées sur des  technologies communes.

Un téléphone portable est nécessaire pour activer sa e-CPS. Dans le cadre de l’AAP Alpha HospiConnect, des cartes professionnelles physiques pourront être distribuées pour les professionnels avec un numéro RPPS ne pouvant pas activer leur e-CPS.

Le multi-exercice professionnel est aujourd’hui géré par le RPPS. Il suffit au professionnel et/ou à l’autorité d’enregistrement (employeur, Ordre ou ARS selon l’activité) de renseigner les différents lieux d’exercice où il exerce.

Le service France Identité pourra constituer un MIE de niveau eIDAS substantiel, qui permettra de faciliter les démarches d’obtention d’un MIE sectoriel (utilisation d’un MIE conforme au niveau de garantie eIDAS substantiel lors d’une procédure à distance).

La candidature à l’appel à projets Alpha doit être portée par un établissement sanitaire ou un établissements/service social ou médico-social. Les industriels et ESN peuvent être partenaires des structures qui candidatent et les aider à déployer les solutions adéquates.

La loi n° 2006-1668 du 21 décembre 2006 oblige les IDE à s’inscrire à leur ordre pour être reconnus au titre de leur profession. Un établissement employeur peut sous sa responsabilité enregistrer au RPPS+ un professionnel à rôle exerçant des fonctions d’accompagnement aux soins sans que cela n’ouvre les mêmes habilitations qu’un IDE, comme pour l’accès au DMP selon l’arrêté du 26 octobre 2023. L’expérimentation permettra d'ajuster les rôles et les habilitations nécessaires, en concertation avec l’assurance maladie.

La liste des professionnels éligibles à obtenir un numéro RPPS, répartis par type d’autorité d’enregistrement, est disponible au lien suivant : https://esante.gouv.fr/produits-services/jobtiens-mon-identite-numerique-numero-rpps

Concernant les professionnels à rôle, la liste actuelle pourra éventuellement être étendue selon les besoins identifiés lors de l'expérimentation.

L’utilisation de cartes temporaires au sein d’une structure pourra faire partie des sujets à traiter dans le cadre des projets retenus par l’AAP Alpha.

Dans le cadre de l’AAP Alpha, le sujet des contrats courts (intérimaires, CDD, …) pourra être traité avec les établissements sélectionnés, en lien notamment avec l’utilisation et la gestion de cartes temporaires.

Dans le cadre de l’AAP Alpha, l’organisation interne en lien avec l’enregistrement des professionnels pourra faire partie des sujets suivis avec les établissements sélectionnés.

Oui, un établissement ayant déjà initié une démarche d’équipement en MIE peut candidater à l’appel à projets Alpha HospiConnect à condition que le projet proposé réponde aux objectifs décrits dans le cahier des charges de l’AAP alpha HospiConnect, notamment la mise en œuvre des organisations permettant l’enregistrement des professionnels au RPPS. Les établissements pourront être accompagnés pour adapter leurs processus actuels.

Le choix du MIE le plus adapté dépend du contexte technique et organisationnel de chaque établissement. L’appel à projets Alpha vise à tester sur le terrain diverses organisations/solutions qui soient conformes au référentiel d'identification électronique et permettant de répondre à l’objectif de simplification pour les utilisateurs de services numériques.

Conformément à l'esprit de cet appel à projets, il est attendu que les candidats démontrent leur capacité à mener à bien le projet proposé. Bien que l'atteinte de cibles chiffrées ne soit pas exigée, il est important que les candidats s'engagent à tester et évaluer les objectifs définis. Si des incertitudes persistent quant à la capacité à réaliser le projet dans son ensemble, il est conseillé de reconsidérer la candidature.

La candidature à l’appel à projet alpha HospiConnect se fait au niveau de l’entité juridique. Les financements seront versés à cette même entité.

Comme mentionné au cahier des charges (section 5.3) : Le montant des financements qui sera alloué aux lauréats sera calculé à partir de la déclaration des coûts réellement engagés à partir du 1er janvier 2024 jusqu’à la déclaration d’atteinte de l’objectif retenu dans le cadre de la candidature, dans la limite du plafond.

Dans le cadre de la vague 1 de référencement Ségur, les éditeurs proposant un DPI avec accès Web, devaient implémenter Pro Sante Connect sur au moins une interface (ce qui a été fait, dans la majorité des cas). L’implémentation de Pro Sante Connect est une exigence de la vague 2 du référencement obligatoire pour tous les DPI, ainsi que l’implémentation d’un connecteur OpenId Connect.
Les solutions référencées Ségur peuvent être consultées au lien suivant : 
https://industriels.esante.gouv.fr/segur-du-numerique-en-sante/segur-vague-1/solutions-referencees-segur

Oui, cela est possible dans le cas d’une candidature sur la cible 1 de l’AAP Alpha. Ces éléments sont mentionnées au chapitre 3.3 du cahier des charges. L’implémentation d’un connecteur OpenId Connect est une exigence Ségur de la vague 2 du référencement obligatoire pour tous les DPI. Aussi, la majorité des DPI devraient à terme, proposer ce connecteur.
Sa disponibilité anticipée peut être discutée avec l'éditeur (pour ceux qui ne le proposent pas déjà), les prestations de paramétrage et de raccordement à la solution de SSO de l'ES pouvant faire partie des dépenses éligibles au financement via l'AAP.

Le dossier de candidature doit faire une dizaine de page au total, en comptant l’ensemble des sections.

Oui, il sera possible de candidater à la phase beta sans avoir candidaté à la phase alpha.

La candidature antérieure à un appel à projet précédent n’entre pas en ligne de compte lors de l’analyse des dossiers.

Un éditeur référencé Ségur mais n’ayant pas implémenté Pro Santé Connect pourra accompagner un projet retenu à l’appel à projets Alpha.

Conformément à l'arrêté du 18 mars 2024, la phase opérationnelle correspond à la période comprise entre la validation de la candidature d'un établissement par son ARS (sur le guichet dédié) et le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.​

Les ES devront atteindre l'ensemble des objectifs fixés d'un domaine pour toucher les financements auquel il peut prétendre pour ce domaine.

Non, il s'agit d'un financement global conditionné à l'atteinte de l'ensemble des objectifs.

Le forfait est bien global pour le GHT et non propre à chaque EJ qu’il comporte. L’ES support portera la candidature pour l’ensemble du GHT. 

Toute action permettant d'atteindre les objectifs du D1, quelle que soit sa nature, est valorisable dans le cadre de cet appel à financement.

Oui, l'année de référence pour le calcul de la part du numérique dans le budget de l'établissement sera 2023 dans tous les cas.

Le document de référence reste la note DGOS/PF2/2019/207 du 26/09/19.

Si cette fusion est antérieure à la publication de l'arrêté, vous pouvez vérifier l'éligibilité depuis ce document.

Il est attendu une première réalisation concrète au bout de 18 mois avec des premières actions de convergence mises en oeuvre.

Pour l'objectif D1.O1, la matrice pour la déclaration des AD est dans les ressources documentaires.

Dans le cadre de l'objectif D1.O6.B, il est attendu que les GHT puissent formaliser la trajectoire qu'ils envisagent, en fonction de leurs spécificités. Cette trajectoire doit inclure les actions à mettre en oeuvre, un planning et le buget associé. La mise en oeuvre de cette trajectoire n'est pas attendue dans le cadre du D1.

Une solution proposée par un prestataire ou un industriel répondant au cahier des charges disponible dans les ressources documentaires.

Cette plateforme permet la mesure de l'atteinte de l'objectif D1.O2.B.

Il n'est malheureusement pas possible d'étendre les destinataires des conventions.
Pour tous les besoins de changement de signataire sur les conventions (par exemple en cas de départ du DG), ces cas seront traités individuellement. Merci de vous rapprocher du support ANS.
 

Le délai de 10 jours est préconisé pour des raisons pratiques mais n'est pas limitant : la signature des conventions par les deux parties vous donne accès aux guichets (déclaration atteinte objectif et paiement). Du fait de l'envoi tardif des conventions et de la période estivale, nous avons prévu de faire trois ouvertures : fin juillet, fin aout, mi septembre. 

Les conventions ne sont pas transmises aux établissements directement par mail en pièce jointe mais ils recevront un e-mail de notification provenant de Yousign (avec le référent CaRE, le RSSI et le DSI en copie) contenant un lien pour accéder à la convention.

Suite à plusieurs sollicitations concernant les outils antispam utilisés par les ES, voici les adresses émettrices de la notification : 

• notifications@yousign.app
• notifications@sandbox.yousign.app

La nouvelle version est en ligne dans les ressources documentaires.

La période opérationnelle indiqué dans l'arrêté s'étend de la date de validation de la candidature par l'ARS et la date de déclaration d'atteinte des objectifs par l'établissement. Etant donné le retard d'envoi des conventions, certains établissements ont tardé dans le démarrage de la réalisation des audits. A ce stade, nous explorons la possibilité d'une tolérance lors des contrôles. N'hésitez pas à vous faire connaitre via le support si vous êtes dans cette situation et que vous n'avez démarré aucune action depuis la validation de votre candidature.

Les audits ADS et les audits d’exposition internet doivent être réalisés tous les deux mois durant la phase opérationnelle.

Nous vous invitons à relancer votre ARS et l'ATIH ainsi qu'à nous faire part de cette information via notre support : Contact | Agence du Numérique en Santé (esante.gouv.fr) dans le cas ou vous votre demande n'aboutirait pas.

Non, c'est la version disponible à la date de la déclaration de l'atteinte des cibles qui doit être utilisée.

C'est le référent CaRE du GHT (qui a été désigné et qui a déposé la candidature au nom du GHT) qui doit déposer l'ensemble des pièces sur la plateforme eCaRE.

Le guichet de déclaration d'atteinte des objectifs ferme le 28 mars 2025.

L'état financier doit être signé par : 

• le trésorier payeur pour un établissement public ;
• le DAF ou un CaC pour un établissement privé ;
• le signataire de la convention pour tous les établissements.

Votre ARS pourra vous solliciter si elle juge votre dossier incomplet.
Une fois la vérification réalisée par votre ARS, le dossier est transmis pour contrôle à l'ANS qui pourra également vous contacter pour question / élément complémentaire.

Les échanges entre l'établissement et l'ANS pourront avoir au lieu tout au long de la phase de contrôle (en amont de la délivrance de l'attestation). C'est durant cette période que l'ES pourra apporter des éléments complémentaires si besoin.

Autrement dit, une fois que l'attestation délivrée mentionne une "non atteinte" alors l'établissement ne peut prétendre à son financement et ne peut renouveler les opérations.

Tout changement de statut du dossier génère un mail au référent CaRE.

Vous trouverez ce n° directement sur la plateforme eCaRE.

Les montants versés correspondent uniquement aux montants réels engagés et déclarés dans l'état financier dans la limite du montant plafond fixé.

Pour l'objectif D1.O5, seule la part dédiée au sanitaire doit être déclarée. Le travail de répartition pourra être réalisé avec la DAF de votre établissement.

Tous les achats sont recevables (marché ou hors marchés) à condition qu'ils concourent à l'atteinte des objectifs du D1.

Pour remplir l'état financier sur le volet RH interne, vous devez indiquer : 

• les fonctions types (par exemple : ingénieur réseau, architecte SI...) ;
• le salaire brut annuel ;
• le nombre de jours travaillés annuellement.

Aucune donnée nominative ne doit être indiquée dans le fichier.

Les coûts RH se calculent à partir du salaire brut annuel de la personne concernée, du nombre de jours travaillé annuellement et du nombre de jours dédié au D1.
Il est préconisé de vous appuyer sur votre convention collective et vos grilles salariales pour déclarer ces coûts.

Seuls les travaux engagés entre la date de publication de l'arrêté (22 mars 2024) et la date de déclaration d'atteinte des objectifs doivent être déclarés. Il sera donc nécessaire de calculer les coûts récurrents sur cette période et d'être en capacité de fournir les justificatifs s'ils vous sont demandés.

Seules les actions concourant à l'atteinte des objectifs du D1 sont valorisables.
Les exemples apportés lors du webinaire avait pour objectif d'illustrer les différentes typologies de coûts présentes dans l'état financier. 
Plus spécifiquement dans le cadre du D1 : 
- une analyse de risque, un EDR, un abonnement PRIS ou un logiciel de gestion de crise ne pourront pas être valorisés.
- un pare-feu périmétrique ou un WAF peuvent être valorisés  (à condition qu'il s'agisse d'une solution permettant de réduire les vulnérabilités exposées, et pas uniquement un moyen de mitiger les risques a priori, par exemple par de la détection de comportement anormaux, ou sur un usage interne au réseau).

Non le plafond doit être pris au global (cumul de tous les coûts engagés déclarés dans l'état financier).

Dans le cas d'un contrôle exhaustif réalisé par l'ANS, l'ES devra être en mesure de fournir : 
- les fiches de paie des personnels ayant contribué au D1
- Relevé d'activité (temps passé sur le projet)
- les conventions collectives.

Toutes les ressources internes ayant contribué à l'atteinte des objectifs du D1 doivent être déclarées dans l'état financier.

Dès lors que la dépense concourt bien à l'atteinte des objectifs du D1, elle doit être inscrite dans l'état financier (indépendamment de sa classe).

Les établissement devront déclarer l'ensemble des travaux engagés pour le D1 même si le plafond est dépassé.

Seuls les travaux engagés entre la date de publication de l'arrêté de financement (22 mars 2024) et la date de déclaration de l'atteinte des objectifs pourront être pris en charge.

Les travaux engagés en 2023 ne pourront pas être valorisés. En revanche, la réalisation des exercices de crise s'inscrivant dans une démarche annuelle, nous vous invitons à en faire un nouveau en 2024 que vous pourrez valoriser dans l'état financier (conformément à l'instruction n°SHFDS/FSSI/2023/15 du 30 janvier 2023).

Le programme CaRE ne fournit pas de modèle d'attestation. Celle-ci devra cependant contenir : 

• la date de réalisation de l'exercice ;
• le ou les ES concernés.

Il faut fournir une attestation délivrée par le prestataire ou l'ARS ou le GRADeS (et non la facture) pour valider l'objectif D1.O3. 
Pour le volet financier, la commande et la facture seront nécessaires.

Oui la date d'engagement des commandes doit être postérieure à la date de publication de l'arrêté de financement du D1 (22 mars 2024).

Le fait d'être hébergé par un prestataire HDS ne permet pas de s'affranchit de réaliser les tests d'exposition sur internet et de la conformité de l'AD.

SILENE et ADS sont des services mis à disposition par l'ANSSI.
avec des fiches de présentation qui décrivent notamment leur accès.

Le service SILENE est recevable pour l'objectif portant sur la fréquence (D1.O2.A) mais pas pour prouver l'absence de vulnérabilité critique (D1O2.B).

C'est le service ADS mis à disposition par l'ANSSI qui doit être utilisé pour auditer vos AD.

Pour les objectifs D1.O2.A et D1.O2.B, chaque établissement est libre de contractualiser avec l'industriel de son choix, dans la mesure où ce dernier respecte le cahier des charges ANS.

Tous les AD opérés par l'établissement sont concernés par l'objectif D1.O1.

Dans ce cas particulier, nous vous prions de bien vouloir prendre contact avec le support ANS du programme pour nous présenter votre situation et l'infrastructure mise en place. 

La migration d'un AD au cours de la phase opérationnelle du D1 n'aura pas d'impact (il ne faut différer la migration).
Le nouvel AD devra cependant être fonctionnel au moment de la déclaration de l'atteinte des objectifs et respecter la cible de l'objectif D1.O2.B (2 audits ADS successif avec un score supérieur ou égal à 2).

Le service ADS vise à évaluer, selon l’état de nos connaissances actuelles, le niveau de sécurité des annuaires AD. Si un nouveau chemin de contrôle vient à être découvert et permet l'élévation de privilèges au sein d'un AD, le service ADS évoluera au plus vite pour prendre en compte ce nouvel état de la menace. Dans ce contexte, nous recommandons que les utilisateurs d’ADS prennent en compte la dernière version des points de contrôle en vigueur.

Chaque rapport ADS comprend un historique des modifications apportées aux points de contrôle ce qui permettrait d'exclure un point de contrôle jugé trop récent lors de l’évaluation de l’atteinte des objectifs par les candidats au D1.

Tous les AD sont concernés par les objectifs D1.O1.A et D1.O1.B y compris ceux hébergés ou infogérés chez un tiers HDS.

2 cas de figure sont possibles avec un AD AZURE ; 
- Configuration hybride cloud/local : la recopie locale doit être auditée via le service ADS de l'ANSSI
- Configuration 100% cloud : dans ce cas là, il est nécessaire que les ES concernés se fassent connaître auprès de la direction de programme pour identifier les modalités d'accompagnement à mettre en place

Les adresses IP des services mis à disposition par l'établissement doivent être audités.

Si ces domaines concernent des services exposés par l'établissement (quelque que soit l'hébergement), ils doivent être listés et inclus dans le périmètre des audits.

Toutes les adresses sont concernées IP publiques de tous les établissements sont concernés par l'audit d'exposition sur internet.
De la même façon, tous les annuaires AD du GHT sont également concernés par la réalisation à intervalle régulier de l'audit ADS.

Les établissements sont financés uniquement si toutes les cibles sont atteintes.

SILENE ne peut être utilisé que pour l'objectif D1.O2.A qui mesure la fréquence de réalisation des audits par un ES et non les actions de remédiations. Il n'y a donc pas de vérification de recevabilité des audits SILENE.

Le domaine 2, stratégie de continuité, devrait ouvrir sur T4 2024.
Le D3 portant sur les accès distants est prévu sur T2 2025.

Les appels à financements n'ont pas pour ambition de ralentir les initiatives des établissements qui ont le souci de renforcer au quotidien leur sécurité opérationnelle. Nous ne préconisons pas aux établissements d'attendre que les arrêtés soient publiés pour oeuvrer au quotidien dans leur mission. Nous invitons toutefois les établissements à partager leurs expériences dans le cadre des ateliers de co-construction (en lien avec leurs fédérations ou leurs ARS) afin que nous puissions définir des objectifs qui permettent de valoriser des travaux à engager. 

Le domaine 2, stratégie de continuité, devrait ouvrir sur T4 2024.
Le D3 portant sur les accès distants est prévu sur T2 2025.