FAQ de l'offre : Ségur du numérique en santé

Pour le prérequis D2.P2 – Décrire l'organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d’Activité, le candidat doit fournir un document décrivant l’organisation projet avec la constitution de l’équipe projet et d’une gouvernance du projet.
Les modalités d'organisation définies pour la mise en œuvre du PCRA sont à définir par l'établissement, tout comme le format du document soumis en réponse au prérequis. Il est recommandé que ce document présente la gouvernance opérationnelle de mise en œuvre et de suivi du PCRA, l'organisation et les parties-prenantes mobilisées ainsi que la répartition des rôles et responsabilités. Il à noter que l'organisation présentée en réponse au D2.P2 est l'organisation permettant l'atteinte des objectifs du présent domaine.
Il n'est pas exigé que le document présentant l'organisation prévue soit signé par la direction de l'établissement. Il n'est pas non plus exigé que l'équipe mobilisée soit décrite nominativement.

D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est en effet demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. 

Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne.

L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ».

Aussi, le serveur de production ne peut pas être considéré comme une copie.
 

Le guide des prérequis et objectifs du Domaine 2 précise que la mise en œuvre du principe 3-2-1 implique une copie immuable hors ligne ou hors site.

Cela signifie qu’il s’agit d’un support distinct de la sauvegarde en ligne (par exemple : robot cassette, bande, hébergeur tiers).
 

Non, le PAS du prestataire n’a pas à reprendre l’intégralité des éléments d’une politique interne de sauvegarde.

En revanche, il est indispensable de vérifier que le PAS couvre bien les exigences attendues (disponibilité, intégrité, sécurité, modalités de restauration) et qu’il répond aux besoins définis par l’établissement.
 

Il n’existe pas de trame de questions formalisée dans le cadre du programme CaRE. Il appartient à l’établissement de s’assurer que les documents contractuels fournis par l’éditeur couvrent bien ses besoins, notamment en matière de disponibilité des plateformes, de sauvegardes et d’attentes métiers.

Il appartient à l’établissement de s’assurer que les documents contractuels fournis par l’éditeur couvrent bien ses besoins, notamment en matière de disponibilité des plateformes (DMIA), de sauvegarde (PDMA) et d’attentes métiers.
 

La transmission d'une attestation ou d'un contrat de prestation HDS ne permet pas la validation de l'objectif.  
En revanche, la transmission du contrat de service et du PAS d'un prestataire HDS répondent aux attendus de l'objectif D2.O2.B. 
 

Dans le cas des GHT, le montant plafond est défini à l'échelle du candidat et les subventionnements sont versés à l'établissement support conformément à la convention qui liera le candidat à l'ANS.

La répartition des subventions obtenues par le candidat entre les entités juridiques et le composant est bien de la responsabilité dudit candidat.
 

Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. 

Par conséquent, si un type de donnée fait l’objet de règles spécifiques, cette politique doit en faire mention.
 

Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : 

• un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu ;
• deux PAS présentés à titre d’exemple.

Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire.
L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.
 

Dans le cadre de l'objectif D2.O1.C, les attendus sont les suivants :

• le candidat doit réaliser un BIA puis formaliser un PCRA par activité critique (au minimum : un service de soins, un processus administratif critique, un plateau technique, soit au moins 4 PCRA) ;
• chaque PCRA décrit les solutions de continuité et de reprise propres à l’activité considérée ;
• le candidat doit également soumettre le PCRA cadre, qui est le plan de réponse du niveau stratégique en cas d’évènement perturbateur. Il n’est pas demandé de produire un PCA global unique couvrant toutes les activités. 

L’exigence est bien la formalisation du PCA cadre et des PCRA par activité critique identifiée dans le BIA.