FAQ de l'offre : Ségur du numérique en santé

L'arrêté du 22 janvier 2025, modifiant l'arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction - "Annuaires techniques et exposition sur internet" , a été publié au Journal officiel le 30 janvier 2025 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000051058973).

Cet arrêté rectificatif a redéfini la phase opérationnelle. Le démarrage de la phase opérationnelle doit être compris entre la date de publication de l’arrêté du Domaine "Annuaires techniques et exposition sur internet" (22 mars 2024) et le 20 septembre 2024. Cette date du 20 septembre a été décidée en concertation avec l’ANSSI pour ne pas impacter les établissements de santé par la non mise à disposition du portail club SSI cet été.

La phase opérationnelle s’achève au dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié, soit le 30 juin 2025 au plus tard​.

Si l'établissement candidat ne souhaite pas envoyer la trame de l'état financier et le récapitulatif de paie directement au référent CaRE pour dépôt sur la plateforme eCaRE, il est proposé que le service Ressources Humaines (RH) ou la Direction Administrative et Financière (DAF) de l'établissement compresse le dossier contenant ces pièces justificatives avec un mot de passe. 

- Le dossier compressé (zip) sera déposé dans Convergence sans être visible par le référent CaRE. 
- Le mot de passe sera envoyé directement à la DAF de l'ANS par mail à l'adresse suivante : care.servicefinances@esante.gouv.fr 
- Dans ce mail, l'établissement candidat doit également préciser le numéro NRU de sa candidature, numéro disponible au niveau du tableau de bord sur la plateforme eCaRE.

Toute dépense concourant bien à l'atteinte des objectifs du Domaine "Annuaires techniques et exposition sur internet" doit être inscrite dans l'état financier et cela indépendamment de sa classe.

L'établissement est libre de choisir et de contractualiser avec un industriel qui propose une solution respectant le cahier des charges "Audit exposition sur internet". 

Le service ADS mis à disposition par l'ANSSI doit être utilisé pour auditer les AD : https://esante.gouv.fr/Fiche%20de%20pr%C3%A9sentation%20ADS.

L'objectif D1.O6 ne demande pas de réaliser la convergence mais de construire et documenter la trajectoire menant à cette convergence. Celle-ci concerne bien tous les AD du GHT.

Ce document doit inclure un planning projet prévoyant une trajectoire de convergence de l’infrastructure AD avec un 1er jalon réalisé dans une échéance maximale de 18 mois après l'appel à financement du Domaine "Annuaires techniques et exposition sur internet". Il doit également préciser les modalités organisationnelles à mettre en œuvre, telles que l'existence d’un responsable et la mutualisation des équipes SI dédiées à ces sujets, ainsi que le budget prévisionnel nécessaire au projet. Le formalisme de rédaction est laissé libre (pas de trame fournie par le programme).

L'objectif est de ce fait validé sans action supplémentaire nécessaire si tous les AD du Groupement Hospitalier Territorial (GHT) sont bien convergés. Dans ce cas, le GHT devra fournir la description de son infrastructure AD convergée comme justificatif de l'atteinte de l'objectif D1.O6.B.

ORADAD est un outil qui évolue et de nouvelles vulnérabilités peuvent être signalées. C'est le cas pour le point de contrôle de niveau 1 concernant l'obsolescence des contrôleurs de domaine, effectif à partir de novembre 2024. Seuls les contrôleurs de domaine sont pris en compte pour ce point de contrôle ADS. Si les établissements rencontrent des difficultés pour la mise en conformité de leurs infrastructures, nous les invitons à nous contacter.​

Par ailleurs, un nouveau rapport ADS peut être généré en complément du rapport initial. Ce rapport, actuellement en version bêta, analyse les GPO de la forêt AD. Ce rapport GPO est destiné à être intégré au rapport ADS et pourrait éventuellement affecter le scoring. Cependant, l'évolution du scoring n'interviendra pas en 2025. Le rapport GPO n'aura donc aucune incidence sur l'atteinte des objectifs du domaine. De manière générale, les nouveaux points de vérification passent par une phase où ils n'impactent pas le score avant d'être considérés dans l'évaluation.

À ce jour, aucune autre évolution susceptible d'impacter l'atteinte des objectifs n'a été identifiée. ​

La plateforme cybersurveillance n'est pas une plateforme compatible avec le Domaine "Audit techniques et Exposition internet". Vous pouvez toutefois réaliser cet audit en complément d'un audit compatible

La date du 20 septembre étant la date limite de début de la phase opérationnelle. la date du 20 novembre est implicitement la date butoir, au titre des objectifs D1.O1.A (fréquence des audits ADS) et D1.O2.A (fréquence des audits d’exposition) pour que chaque candidat ait réalisé un premier audit ADS et un premier audit d’exposition internet.​

​Cette date du 20 novembre correspond :​

- A la date d'inscription au club SSI pour les audits SILENE ​

- A la date de demande d’un audit ORADAD (dépôt du dump d’un AD sur le portail dédié).​

Le fait que le rapport d'audit soit disponible après cette date n'aura pas d'impact sur l’atteinte de l’objectif. ​

Si l'établissement n'a pas réalisé les premiers audits avant le 20/11, les objectifs correspondants du domaine ne seront pas atteints.

NB : Le club SSI met à disposition une FAQ couvrant divers sujets, de l'inscription au club à la réalisation des audits, etc. Pour toute question relative aux services ADS et/ou SILENE, nous recommandons de consulter cette FAQ (https://club.ssi.gouv.fr/#/faq).