FAQ de l'offre : Ségur du numérique en santé

Les documents justificatifs attendus dans le cadre du domaine seront soumis par le candidat au travers de la plateforme sécurisée e-CaRE, et pour les documents les plus sensibles et confidentiels au travers d'un conteneur Zed.

Les documents transmis sont exclusivement analysés par les équipes de votre Agence régionale de santé (à l’exception des documents présents dans un conteneur Zed) et de l'Agence du Numérique de Santé (ANS) aux fins de contrôle telles que définies dans la convention à venir entre l'ANS et le candidat.

Par ailleurs, ladite convention fixe également les durées de conservation et les modalités de suppression des données recueillies. Pour certains prérequis et objectifs (notamment D2.P1, D2.O2.A, D2.O3.A, D2.O3.B et D2.O3.C), le candidat peut soumettre une présentation synthétique ou une attestation de présence du document attendu.
 

Plusieurs documents nécessitent la validation de la direction ou d'une instance décisionnelle dans le cadre de l'atteinte des prérequis et des objectifs.

Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : 

• Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée.
• Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat " et accompagné du "compte rendu d'une instance décisionnelle" ayant validé ce schéma.

Il est attendu un document signé formellement par une personne habilitée, et un compte rendu de l'instance ayant validée le schéma.

Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. Le candidat est alors invité à soumettre une pièce justifiant de la délégation de signature dudit directeur.
 

L’organisation du dispositif de gouvernance constitue en effet l’un des éléments constitutifs du PCRA cadre attendu au titre du D2.O2.C.

Pour autant, l’atteinte de cet objectif repose sur des éléments complémentaires tels que la présentation de l’équipe projet ou la formalisation du macro-planning. Le candidat est libre de présenter l’organisation qui lui apparaît la plus appropriée, et l’équipe projet peut donc intégrer des collaborateurs spécifiques par périmètres adressés.

L'équipe projet, définie en réponse à cet objectif, constituera l'équipe pérenne sur les chantiers de renforcement de la continuité d’activité. Elle diffère, en ce sens, de l'équipe proposée en réponse au prérequis D2.P2 qui est chargée quant à elle des travaux nécessaires à l’atteinte des objectifs de l’objectif D2.O1.
 

Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique. Le PCA doit néanmoins prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique.

La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif).

Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualité, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de réaliser simultanément sur les sites concernés. 

Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.
 

Le Domaine 2 s'implique uniformément au système d'information de l'établissement (tant sur les objectifs de continuité d'activité que ceux de sauvegarde), et donc aux applications hébergées en mode HDS.
 

La téléphonie ne constitue pas un périmètre priorisé dans le cadre du Domaine 2.

Néanmoins, si le bilan d'impact sur les activités (BIA) l'identifie comme un système critique, alors il est attendu que la téléphonie soit couverte par la réalisation de PCA/PRA. 
 

Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ?

Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement.

Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente. 
 

La réalisation d’un test central embarquant l’ensemble des établissements du groupe est acceptée si les mesures de sauvegarde sont identiques dans l’ensemble des établissements. Le justificatif soumis devra préciser le périmètre d’applicabilité du test.

Au moins un des tests menés doit concerner un environnement de production.

Celui-ci doit concerner un système dont la criticité pour l’activité de l’établissement est établie.

L’objectif D2.03 est composé de trois sous-objectifs : il est attendu que le candidat mette en œuvre une authentification sécurisée pour les infrastructures de sauvegarde, qu’il s’inscrive dans une trajectoire pour un cloisonnement de son infrastructure de sauvegarde ainsi que pour la mise en œuvre du 3-2-1.

Ainsi, pour l’objectif D2.03.A, le candidat devra avoir mis en œuvre des dispositions garantissant une authentification sécurisée pendant la phase opérationnelle afin de pouvoir justifier l’atteinte de l’objectif. Pour les sous objectifs D2.03.B et D2.03.C, il est attendu que le candidat s’inscrive dans une démarche, ainsi, il n’est pas attendu que le projet soit entièrement mis en œuvre avant la fin de la phase opérationnelle. À titre d’illustration, des documents justificatifs des travaux engagés ainsi qu’un schéma technico-fonctionnel détaillant l’architecture et la matrice des flux techniques à l’état actuel et à la cible peuvent être soumis.

En revanche, seules les dépenses effectivement engagées durant la phase opérationnelle seront éligibles à une subvention.