FAQ de l'offre : Ségur du numérique en santé

Le calcul des ETP ne concerne que les ressources internes à l'établissement de santé (ES).

Oui, l'année de référence pour le calcul de la part du numérique dans le budget de l'établissement sera 2023 dans tous les cas.

Pour l'objectif D1.O5, seule la part dédiée au sanitaire doit être déclarée. Le travail de répartition pourra être réalisé avec la DAF de l'établissement.

L'objectif D1.O5 couvre les postes SI et pas uniquement SSI. Pour calculer le budget alloué au numérique, il faut prendre en compte les postes qui comportent un composant SI ou SSI (compté en ETP) que ce soit pour un salarié ou un prestataire.​ ​

En cas d'indisponibilité de la plateforme oSIS V3, le candidat doit soumettre les questionnaires complétés sous la forme d'un fichier Excel, disponible sur le site du programme CaRE de l'ANS. Les champs à renseigner dans ce fichier sont identiques à ceux des formulaires correspondants de l'oSIS V3.

L'utilisation des kit de l'ANS est fortement recommandée. Ils comportent plusieurs niveaux de difficulté. Ils peuvent être l’opportunité pour les Etablissements de Santé (ES) de passer à un niveau supérieur si leur maturité s’est améliorée.

L’ensemble de ce qui est exposé par le GHT doit être audité et à la cible. Le GHT a pour autant le choix de réaliser des audits uniques sur tout son périmètre ou plusieurs audits pour couvrir ce périmètre (au niveau de chaque EJ, par exemple).

Il est indispensable que tout le périmètre soit couvert indépendamment du nombre d'audits pour y arriver. Concernant le score attendu attestant l'absence de vulnérabilité critique, il peut également être global ou réparti sur plusieurs audits, tant que tout le périmètre est couvert.

Les tests SILENE sont effectués mensuellement avec, donc, un intervalle inférieur à 45 jours. Le délai minimal ne concerne que le D1.O2. B : l’intervalle entre deux audits successifs doit être de 45 jours minimum et de 60 jours maximum pour évaluer l'atteinte de niveau de sécurisation minimum d'exposition internet. Pour vérifier la pertinence des corrections apportées, les intervalles peuvent être faibles mais avec une fréquence de réalisation "élevée".

L'esprit de la règle est d'éviter d'avoir deux audits très rapprochés qui ne démontrent pas le maintien dans le temps du niveau atteint. 

Seule la détection d'une vulnérabilité de niveau critique (niveau rouge CVSS > 9) sur les 2 derniers audits successifs d'exposition internet est bloquante pour l'atteinte de l'objectif D1.O2.B.

La détection d'une vulnérabilité de niveau haute (niveau orange CVSS comprise entre 7 et 9) n'est pas rédhibitoire. Elle doit cependant être corrigée avant le prochain audit.

Vous pouvez vous référer au guide détaillé des prérequis et des objectifs (https://esante.gouv.fr/Guide%20des%20pr%C3%A9requis%20et%20objectifs%20du%20domaine%201).

Selon le cahier de charges : "L’exposition d’une vulnérabilité critique sur internet par une solution logicielle ou matérielle ne signifie pas automatiquement que cette vulnérabilité est exploitable. Des contremesures externes au composant concerné ont pu être mises en œuvre pour réduire le risque de compromission. Pour vérifier la mise en œuvre de ces mesures et réévaluer si besoin la cotation de la vulnérabilité, il est fortement recommandé de prendre contact avec le RSSI ou le référent sécurité de l’établissement." ​

Si des mesures sont mises en œuvre pour atténuer ces vulnérabilités, la cotation de celles-ci peut être réévaluée. Pour cela, un dialogue doit avoir lieu entre le RSSI et l’auditeur (c’est-à-dire l’industriel retenu par le candidat pour effectuer les audits d’exposition internet) afin d'évaluer le niveau de criticité résiduel. Toute décision justifiant la baisse de niveau de criticité doit être justifiée et étayée (justificatif à l’appui) par le RSSI et mentionnée dans le rapport d'audit.​ ​

Si le dialogue n'aboutit pas à une solution, l'auditeur doit être recadré en rappelant le contexte de dialogue promu dans le cahier des charges.