FAQ de l'offre : Ségur du numérique en santé

Les certifications ISO 27001 et HDS ne sont pas objectivées dans le cadre du Domaine "Annuaires techniques et exposition sur internet".

Le calcul des ETP ne concerne que les ressources internes à l'établissement de santé (ES).

Oui, l'année de référence pour le calcul de la part du numérique dans le budget de l'établissement sera 2023 dans tous les cas.

Pour l'objectif D1.O5, seule la part dédiée au sanitaire doit être déclarée. Le travail de répartition pourra être réalisé avec la DAF de l'établissement.

L'objectif D1.O5 couvre les postes SI et pas uniquement SSI. Pour calculer le budget alloué au numérique, il faut prendre en compte les postes qui comportent un composant SI ou SSI (compté en ETP) que ce soit pour un salarié ou un prestataire.​ ​

En cas d'indisponibilité de la plateforme oSIS V3, le candidat doit soumettre les questionnaires complétés sous la forme d'un fichier Excel, disponible sur le site du programme CaRE de l'ANS. Les champs à renseigner dans ce fichier sont identiques à ceux des formulaires correspondants de l'oSIS V3.

L'utilisation des kit de l'ANS est fortement recommandée. Ils comportent plusieurs niveaux de difficulté. Ils peuvent être l’opportunité pour les Etablissements de Santé (ES) de passer à un niveau supérieur si leur maturité s’est améliorée.

L’ensemble de ce qui est exposé par le GHT doit être audité et à la cible. Le GHT a pour autant le choix de réaliser des audits uniques sur tout son périmètre ou plusieurs audits pour couvrir ce périmètre (au niveau de chaque EJ, par exemple).

Il est indispensable que tout le périmètre soit couvert indépendamment du nombre d'audits pour y arriver. Concernant le score attendu attestant l'absence de vulnérabilité critique, il peut également être global ou réparti sur plusieurs audits, tant que tout le périmètre est couvert.

Les tests SILENE sont effectués mensuellement avec, donc, un intervalle inférieur à 45 jours. Le délai minimal ne concerne que le D1.O2. B : l’intervalle entre deux audits successifs doit être de 45 jours minimum et de 60 jours maximum pour évaluer l'atteinte de niveau de sécurisation minimum d'exposition internet. Pour vérifier la pertinence des corrections apportées, les intervalles peuvent être faibles mais avec une fréquence de réalisation "élevée".

L'esprit de la règle est d'éviter d'avoir deux audits très rapprochés qui ne démontrent pas le maintien dans le temps du niveau atteint.