FAQ de l'offre : Ségur du numérique en santé

Non, dans la mesure où son infrastructure n'est pas opérée par l'établissement. En revanche, si un point d'accès existe entre l'application et le SIH (VPN, API...), celui-ci fait partie du périmètre.

De manière générale, il n'est pas possible d'exclure simplement des sites "vitrines" ou qui n’auraient "aucun lien avec le SI" du périmètre, car les situations sont très diverses. Chaque vulnérabilité doit être analysée, et si le risque résiduel est faible, cela doit être mentionné dans le rapport d'audit. ​

La notion de site "sans lien avec le SI" est discutable. Par exemple, un site institutionnel sans lien technique avec le SI hospitalier, mais qui publie des ressources statiques, peut présenter des risques. S'il renvoie vers des plateformes externes de paiement ou un portail patient, sa compromission pourrait permettre des détournements de paiements ou la récupération de credentials. Ces risques ne doivent pas être ignorés et doivent être inclus dans le périmètre, bien qu'ils puissent être mitigés lors de l'audit.​

Concernant les hébergeurs, ils proposent tous, et notamment OVH, des offres qui vont de l’hébergement grand public (qui expose souvent du FTP effectivement) à de l’hébergement professionnel dédié, et pour certains avec des options HDS, avec toute une gamme intermédiaire. Évidemment les coûts sont croissants, et doivent être en rapport avec la finalité du site.

La migration d'un AD au cours de la phase opérationnelle n'aura pas d'impact. Le nouvel AD devra cependant être fonctionnel au moment de la déclaration de l'atteinte des objectifs et respecter la cible de l'objectif D1.O2.B (2 audits ADS successifs avec un score supérieur ou égal à 2).​

Dans le cas d’une migration vers Azure AD, 2 cas de figure sont possibles : ​

- Configuration hybride cloud/local : la recopie locale doit être auditée via le service ADS de l'ANSSI.​

- Configuration 100% cloud : Pour les établissements qui utilisent Azure AD / Microsoft Entra ID (AD dans le cloud), l’outil ORADAD ne fonctionne pas avec ce type d’architecture. Un outil spécifique appelé ORADAZ, adapté à ce type d’architecture, est en cours de développement par l‘ANSSI. En revanche, sa mise en production pour la phase opérationnelle du Domaine "Annuaires techniques et exposition sur internet" ne peut pas être garantie. Dans ce cas, il est nécessaire que les ES concernés se fassent connaître auprès de la direction de programme pour identifier les modalités d'accompagnement à mettre en place.

La sécurisation des annuaires techniques reste un des pivots de ce premier appel à financement. Avant de pouvoir répondre à cette question, les ES doivent préciser leur situation auprès des ARS et fournir notamment les éléments suivants : architecture (nombre de postes, d'utilisateurs), infrastructure générale de l'établissement (réseau, datacenter...), et actions de remédiation prévues pour le domaine.

Les ES sont également invités à prendre contact avec le support ANS du programme pour présenter leur situation et l'infrastructure mise en place (https://esante.gouv.fr/contact).

Les pièces justificatives sensibles devront être transmises via la plateforme sécurisée eCARE en utilisant un conteneur ZED, une solution validée par le fonctionnaire de la sécurité des systèmes d'information (FSSI). Les webinaires des 16 juillet et 9 septembre 2024 détaillent la procédure pour créer ces conteneurs. Vous pouvez les consulter sur le site esanté : https://esante.gouv.fr/webinaires

Le guide d’utilisation eCaRE pour les établissements de santé, disponible sur la page d'accueil de la plateforme Convergence (https://convergence.esante.gouv.fr/), explique également en détail la procédure d'utilisation du conteneur ZED.

Oui, c'est possible depuis le 9 octobre 2024.

Cependant, il est important de noter qu'un dossier ne peut pas avoir deux référents simultanément. Une fois le dossier transféré au nouveau référent, qui doit d'abord créer son compte eCaRE, l'ancien référent n'y aura plus accès.

La procédure de réaffectation est détaillée dans le guide d'utilisation eCaRE pour les établissements de santé, disponible sur la page d'accueil de la plateforme Convergence (https://convergence.esante.gouv.fr/).

Les liens entre le PCRA et le guide plan blanc numérique sont explicités dans le webinaire du 15 mars 2025 dédié au PCRA  : https://www.youtube.com/watch?v=JKqmBuy0AZk.

Oui, il est possible de mettre à jour les coordonnées du DSI et/ou du RSSI d'un établissement après soumission de sa candidature depuis le 9 octobre 2024. La procédure est détaillée dans le guide d'utilisation eCaRE pour les établissements de santé, disponible sur la page d'accueil de la plateforme Convergence (https://convergence.esante.gouv.fr/).

Vous trouverez ce n° directement sur la plateforme eCaRE (https://convergence.esante.gouv.fr/login/convergence/etabsante).

Dans le cas où un établissement de santé (ES) perdrait ses accès à un conteneur ZED, nous distinguons deux scénarios : ​​

• Si l'ES a encore accès à l'autre conteneur mis à sa disposition dans le cadre de la déclaration d'atteinte des objectifs, il peut télécharger à nouveau une version vide de ce conteneur en cliquant sur le bouton "Télécharger un conteneur" de l'objectif correspondant. Il aura ainsi un deuxième conteneur ZED vide dont il connait les accès et qu'il pourra renommer et ouvrir en utilisant les identifiants connus. Une fois les preuves déposées dans ce conteneur, l'ES peut le charger dans tous les espaces de dépôt acceptant des fichiers ZED (objectifs D1.O1 et D1.O2).​​
• Si l'ES a perdu les accès aux deux conteneurs ZED mis à sa disposition, nous pouvons lui assigner un nouveau conteneur ZED suite à l'envoi d'une demande au support Convergence (ans-support-convergence@esante.gouv.fr). L'ES pourra alors télécharger le nouveau conteneur depuis son formulaire de déclaration, en notant les identifiants qui lui seront communiqués pour ouvrir le conteneur ZED.​​

A noter que les administrateurs de la plateforme Convergence n'ont pas accès aux identifiants et mots de passe des conteneurs ZED mis à disposition des établissements.​