FAQ de l'offre : Ségur du numérique en santé

Le service ADS mis à disposition par l'ANSSI doit être utilisé pour auditer les AD : https://esante.gouv.fr/Fiche%20de%20pr%C3%A9sentation%20ADS.

L'objectif D1.O6 ne demande pas de réaliser la convergence mais de construire et documenter la trajectoire menant à cette convergence. Celle-ci concerne bien tous les AD du GHT.

Ce document doit inclure un planning projet prévoyant une trajectoire de convergence de l’infrastructure AD avec un 1er jalon réalisé dans une échéance maximale de 18 mois après l'appel à financement du Domaine "Annuaires techniques et exposition sur internet". Il doit également préciser les modalités organisationnelles à mettre en œuvre, telles que l'existence d’un responsable et la mutualisation des équipes SI dédiées à ces sujets, ainsi que le budget prévisionnel nécessaire au projet. Le formalisme de rédaction est laissé libre (pas de trame fournie par le programme).

L'objectif est de ce fait validé sans action supplémentaire nécessaire si tous les AD du Groupement Hospitalier Territorial (GHT) sont bien convergés. Dans ce cas, le GHT devra fournir la description de son infrastructure AD convergée comme justificatif de l'atteinte de l'objectif D1.O6.B.

ORADAD est un outil qui évolue et de nouvelles vulnérabilités peuvent être signalées. C'est le cas pour le point de contrôle de niveau 1 concernant l'obsolescence des contrôleurs de domaine, effectif à partir de novembre 2024. Seuls les contrôleurs de domaine sont pris en compte pour ce point de contrôle ADS. Si les établissements rencontrent des difficultés pour la mise en conformité de leurs infrastructures, nous les invitons à nous contacter.​

Par ailleurs, un nouveau rapport ADS peut être généré en complément du rapport initial. Ce rapport, actuellement en version bêta, analyse les GPO de la forêt AD. Ce rapport GPO est destiné à être intégré au rapport ADS et pourrait éventuellement affecter le scoring. Cependant, l'évolution du scoring n'interviendra pas en 2025. Le rapport GPO n'aura donc aucune incidence sur l'atteinte des objectifs du domaine. De manière générale, les nouveaux points de vérification passent par une phase où ils n'impactent pas le score avant d'être considérés dans l'évaluation.

À ce jour, aucune autre évolution susceptible d'impacter l'atteinte des objectifs n'a été identifiée. ​

La plateforme cybersurveillance n'est pas une plateforme compatible avec le Domaine "Audit techniques et Exposition internet". Vous pouvez toutefois réaliser cet audit en complément d'un audit compatible

La date du 20 septembre étant la date limite de début de la phase opérationnelle. la date du 20 novembre est implicitement la date butoir, au titre des objectifs D1.O1.A (fréquence des audits ADS) et D1.O2.A (fréquence des audits d’exposition) pour que chaque candidat ait réalisé un premier audit ADS et un premier audit d’exposition internet.​

​Cette date du 20 novembre correspond :​

- A la date d'inscription au club SSI pour les audits SILENE ​

- A la date de demande d’un audit ORADAD (dépôt du dump d’un AD sur le portail dédié).​

Le fait que le rapport d'audit soit disponible après cette date n'aura pas d'impact sur l’atteinte de l’objectif. ​

Si l'établissement n'a pas réalisé les premiers audits avant le 20/11, les objectifs correspondants du domaine ne seront pas atteints.

NB : Le club SSI met à disposition une FAQ couvrant divers sujets, de l'inscription au club à la réalisation des audits, etc. Pour toute question relative aux services ADS et/ou SILENE, nous recommandons de consulter cette FAQ (https://club.ssi.gouv.fr/#/faq).

Non, l'objectif est bien d'atteindre un score de 2 et ces mesures ne seront pas prise en compte.

'Conformément à l'objectif D1.O2.A, des audits doivent être réalisés tous les deux mois sur l'ensemble du périmètre exposé durant la phase opérationnelle. Pour ce faire, il est nécessaire d'utiliser le service SILENE (ANSSI) ou une plateforme d'audit industrielle conforme au cahier des charges.

Selon l'objectif D1.O2.B, les deux derniers rapports d'audit ne doivent pas présenter de vulnérabilités critiques. Seule une plateforme d’audit industrielle conforme au cahier des charges peut être utilisée pour ces audits. Il est recommandé, mais non obligatoire, que ces audits soient réalisés par la même société.

La réalisation de l’audit est obligatoire pour prétendre aux financements du Domaine "Annuaires techniques et exposition sur internet". Nous rappelons que l'intérêt de cet audit réside dans le fait que la sécurité de l'AD est souvent mise en cause lors des attaques, quel que soit le domaine d'activité. De plus, le DPI n’est pas le seul élément du SIH contenant des données sensibles.

Tous les AD sont concernés par les objectifs D1.O1.A et D1.O1.B y compris ceux hébergés ou infogérés chez un tiers HDS.