FAQ de l'offre : Ségur du numérique en santé

Le PCA et le PRA portent sur les aspects métiers et organisationnels de l'établissement, au-delà de l'aspect informatique seul.
Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaires, indisponibilité des fournisseurs et indisponibilité informatique.

Toutefois, seul le traitement du scénario d'indisponibilité des systèmes d’information et d'un second scénario au choix sont obligatoires pour atteindre les objectifs du D2.O1.C.

L'ensemble des documents afférents au Domaine 2 ainsi que des ressources pédagogiques ([ANS-Formation] - Coorpacademy) et didactiques (à l'exemple du kit PCA / PRA mis à disposition des structures) sont disponibles sur le site de l'ANS en suivant le lien : https://esante.gouv.fr/strategie-nationale/cybersecurite/securite-operationnelle/ressources

Les objectifs du programme ont été élaborés en concertation entre l’ANS et la HAS. Bien qu’ils soient alignés sur les exigences de la certification, seule la HAS est habilitée à délivrer la décision de certification.

L’ensemble des dépenses réalisées pendant la phase opérationnelle pour contribuer à l’atteinte des objectifs du Domaine 2 sont éligibles à un subventionnement. À titre d’exemple, le recours à la prestation externe, l’acquisition d’un SMCA ou encore la mise en œuvre d’un nouveau système de sauvegarde sécurisée sont éligibles – étant entendu que cette liste n’est pas exhaustive.

Il est à noter que l’ensemble des dépenses réalisées durant la phase opérationnelle concourants à l'élaboration du PCRA seront éligibles, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs qui ne constitue pas une limite.

En ce qui concerne les objectifs visant à « s’inscrire dans une démarche », les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l’AAF Domaine 2. Les coûts associés à la mobilisation des ressources humaines du candidat sont également éligibles.

Néanmoins, il est à souligner que ces coûts doivent être explicitement justifiés au regard des activités du programme. Aussi, nous recommandons aux établissements de favoriser les dépenses associées à des travaux de prestation intellectuelle, d’acquisition de solutions informatiques, ou des coûts RH associés à la mobilisation de personnels disposant d’une lettre de mission dans le cadre du Domaine 2.Une trame de justification des coûts – similaire dans son formalisme à celle du Domaine 1 – sera également fournie.
 

Oui, seules les dépenses concourant à l’atteinte des objectifs réalisées entre la date de publication de l'arrêté et la date de dépôt de l'atteinte des objectifs peuvent être prises en compte pour le calcul du montant de financement.

Cette fonctionnalité est possible dans le cadre du Domaine 2, contrairement au Domaine 1 du programme CaRE. Dans le Domaine 2, une même personne, associée à une unique adresse e-mail, peut donc être désignée comme référent pour plusieurs candidatures distinctes.

L'existence d'une PSSI de GHT ou à l’échelle du candidat permet-elle de valider le prérequis n°1 même si chaque établissement du GHT ou du candidat ne dispose pas de sa propre PSSI ?

Le D2.P1 attend que chaque candidat dispose d’une PSSI validée et revue entre le 16 juillet 2022 et la date de dépôt de candidature, fixée au plus tard au 31 octobre 2025. Ce document doit être signé par le représentant du candidat ou le représentant de chaque établissement constituant le candidat. En fonction de son organisation, ce document peut être fourni par candidat ou par chaque établissement constituant le candidat. Si l’entité juridique ou le GHT ne fournit pas une PSSI unique, l’établissement porteur de la candidature doit s’assurer que chaque établissement dispose de sa propre PSSI, signée par le directeur de l’établissement :

• pour les GHT, ce document peut être fourni au niveau des entités juridiques ;
• pour les EJ, ce document peut être fourni par entité géographique.

Aucun élément relatif au contenu ou à la structuration de la PSSI n'est imposé dans le cadre de ce prérequis.

Les établissements peuvent soumettre un document de présentation de la PSSI (et non la PSSI complète) selon un formalisme laissé à leur appréciation.

Le document de présentation devra néanmoins inclure (i) la date de mise à jour, (ii) la signature du représentant de la structure et (iii) le périmètre des entités juridiques et/ou géographiques appliquant cette politique.

Pour rappel, les candidats peuvent s’appuyer sur les contenus méthodologiques relatifs à la mise en œuvre d’une PSSI et disponibles aux liens suivants :

• https://cyber.gouv.fr/publications/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation
• https://esante.gouv.fr/sites/default/files/media_entity/documents/pgssi-s_guide_pssi_non-expert-ssi-v-1.0.pdf

Que se passe-t-il également en cas de désistement après le dépôt de la candidature ou si un établissement n’atteint pas les objectifs ? Une entité juridique doit nécessairement candidater pour l’ensemble de ses entités géographiques. L’atteinte de chaque objectif est conditionnée par la réalisation de celui-ci par chaque entité du candidat, à l’exception des objectifs D2.O1.C et D2.O1.D, pour lesquels une souplesse est exprimée en part d’activité combinée à couvrir.

Que se passe-t-il également en cas de désistement après le dépôt de la candidature ou si un établissement parti n’atteint pas les objectifs ? Un GHT doit nécessairement candidater pour le compte de l'ensemble des établissements partie à son groupement. L’atteinte de chaque objectif est conditionnée par la réalisation de celui-ci par chaque entité du GHT, à l’exception des objectifs D2.O1.C et D2.O1.D, pour lesquels une souplesse est exprimée en part d’activité combinée à couvrir.

Les écarts constatés dans la base des établissements éligibles au Domaine 2 (cf. la documentation accessible par ce lien) peuvent être signalés via le support de l'ANS dédié pour le programme CaRE en suivant ce lien.