FAQ de l'offre : Ségur du numérique en santé

La réalisation de l’audit est obligatoire pour prétendre aux financements du Domaine "Annuaires techniques et exposition sur internet". Nous rappelons que l'intérêt de cet audit réside dans le fait que la sécurité de l'AD est souvent mise en cause lors des attaques, quel que soit le domaine d'activité. De plus, le DPI n’est pas le seul élément du SIH contenant des données sensibles.

Tous les AD sont concernés par les objectifs D1.O1.A et D1.O1.B y compris ceux hébergés ou infogérés chez un tiers HDS.

Il est rappelé que dans le cadre de l'objectif D1.O6, il est attendue une trajectoire de convergence et non la trajetoire en elle-même. Ces dépenses n'étant pas nécessaires à la formalisation de la trajectoire, elle ne sont donc pas éligibles.

Ce type d’outil ne rentre pas dans le périmètre des audits d’exposition, car la demande porte sur un outil de surveillance des fuites de données et non sur la remédiation de potentielles vulnérabilités.

Uniquement la partie qui concourt à l’atteinte de l’objectif : si la version du CMS utilisée expose des vulnérabilités critiques, sa mise à jour peut être prise en compte. Si des modules complémentaires développés par l’établissement sont dans le même cas, leur redéveloppement peut être pris en compte. En revanche, les travaux de charte graphique, éditoriaux, etc. ne sont pas éligibles. ​

Une dépense est éligible si elle contribue à l'atteinte des objectifs du domaine. Toute dépense qui concourt directement à la remédiation ou à la détection immédiate d'éléments nécessitant la remédiation, est éligible. Les dépenses suivantes n'y concourant pas, elles ne sont pas éligibles (liste non exhaustive) :

- Une application SaaS exposée par un fournisseur

- Une analyse de risque, un EDR ou un abonnement PRIS

- Mise en place d'un gestionnaire de mot de passe

- Mise en place d'un outil de MAJ sur des serveurs LINUX sans les arrêter

En général, ces outils ne peuvent pas être déclarés car ils ne concourent pas à la sécurisation de l’AD mais uniquement à la gestion des identités. Toutefois, si l'ADS remonte des anomalies qui sont corrigées par le produit d’IAM, la modification du processus dans l’IAM peut contribuer. L'acquisition d'un outil IAM en lui-même ne peut être prise en charge.

Le coût de la prestation de fusion de X AD en un seul et unique AD peut être pris en charge à condition que cette action contribue à la diminution des vulnérabilités. Par exemple, si l'AD convergé présente un score de sécurité supérieur à celui des AD de départ.​

Les exercices de crise peuvent être menés en interne sans faire appel à une prestation extérieure. L'établissement devra cependant fournir la preuve de la tenue de cet exercice (scénario, RETEX post exercice…) pour valider l'objectif D1.O3.

Le programme CaRE ne fournit pas de modèle d'attestation. Celle-ci devra cependant contenir :

- la date de réalisation de l'exercice ;

- le ou les ES concernés.

A noter que pour valider l'objectif, l'ES doit founir une attestation délivrée par le prestataire ou l'ARS ou le GRADeS (et non la facture) dans le cas d'un exercice réalisé dans le cadre d'une démarche régionale.

Pour le volet financier, la commande et la facture seront nécessaires.