FAQ de l'offre : Ségur du numérique en santé

En effet, dans le cas où l’exercice terrain de continuité d’activité était mutualisé avec la réalisation d’un exercice de crise cyber, les dépenses associées à la réalisation conjointe des deux tests sont-elles éligibles dans le cadre du domaine n°2 ? 

Pour rappel, seules les dépenses concourant directement à l’atteinte des objectifs du présent domaine sont éligibles. La réalisation d’un exercice de crise cyber n’est pas prévu par le domaine n°2 « continuité d’activité et sauvegarde » et faisait l’objet d’une dépense éligible dans le cadre du domaine n°1 du programme CaRE.

Par principe, les coûts associés à la réalisation d’un exercice de crise cyber ne sont pas éligibles. 

 

Les coûts associés à la mobilisation des ressources humaines du candidat sont éligibles, y compris pour les professionnels de l’équipe de soins impliqués dans la rédaction du BIA et/ou du PCRA. 

Néanmoins, il est rappelé que ces coûts doivent être explicitement justifiés au regard des activités du programme, notamment via la transmission d’une lettre de mission nominative. 

Les candidats sont ainsi invités à identifier les collaborateurs les plus engagés dans la démarche de rédaction du BIA et/ou du PCRA pour émettre une lettre de mission et faciliter la justification ultérieure des coûts engagés.
 

L'attendu défini pour le D2.01.C porte sur la réalisation d’un plan de continuité d’activité établie sur la base de 2 scénarios d’indisponibilité portant sur (i) l'indisponibilité du SI, et (ii) un autre scénario au choix du candidat.

Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaire, indisponibilité des fournisseurs et indisponibilité informatique. Auquel cas, l'ensemble des dépenses associées à la réalisation des scénarios d'indisponibilité non encore couverts sont éligibles.
 

Il est possible pour un établissement de valoriser des actions de formation si elles ont permis de contribuer directement à l'atteinte d'un objectif (par exemple, pour des professionnels disposant d'une lettre de mission) du présent domaine. 

Les formations citées en exemples (ISO 270001, 27002, 27005, EBIOS) ne contribuent pas directement à l’atteinte d’un objectif du domaine, et ne sont pas des dépenses considérées éligibles.
 

L’ensemble des dépenses réalisées pendant la phase opérationnelle pour contribuer à l’atteinte des objectifs du Domaine 2 sont éligibles à un subventionnement. À titre d’exemple, le recours à la prestation externe, l’acquisition d’un SMCA ou encore la mise en œuvre d’un nouveau système de sauvegarde sécurisée sont éligibles – étant entendu que cette liste n’est pas exhaustive.

Il est à noter que l’ensemble des dépenses réalisées durant la phase opérationnelle concourants à l'élaboration du PCRA seront éligibles, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs qui ne constitue pas une limite.

En ce qui concerne les objectifs visant à « s’inscrire dans une démarche », les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l’AAF Domaine 2. Les coûts associés à la mobilisation des ressources humaines du candidat sont également éligibles.

Néanmoins, il est à souligner que ces coûts doivent être explicitement justifiés au regard des activités du programme. Aussi, nous recommandons aux établissements de favoriser les dépenses associées à des travaux de prestation intellectuelle, d’acquisition de solutions informatiques, ou des coûts RH associés à la mobilisation de personnels disposant d’une lettre de mission dans le cadre du Domaine 2.Une trame de justification des coûts – similaire dans son formalisme à celle du Domaine 1 – sera également fournie.
 

Oui, seules les dépenses concourant à l’atteinte des objectifs réalisées entre la date de publication de l'arrêté et la date de dépôt de l'atteinte des objectifs peuvent être prises en compte pour le calcul du montant de financement.

Le choix du MIE le plus adapté dépend du contexte technique et organisationnel de chaque établissement. L'utilisation d'un MIE national comme la CPx pour gérer l'authentification des professionnels sur le système d'information local implique une dépendance aux processus de l'ANS et nécessite un enregistrement au niveau national de l'ensemble des professionnels à équiper. Cela peut avoir un impact non négligeable sur l'organisation de la structure.

L'identité locale doit être liée à l'identité nationale lorsque l'utilisateur relève d'un enregistrement national. Mais cela n'implique pas forcément d'utiliser un MIE à portée nationale qui embarque l'identifiant national.
L'identifiant national est nécessaire pour assurer l'interopérabilité entre les services locaux des structures et les services externes (régionaux, nationaux). Il est donc tout à fait possible sécuriser l'authentification locale sans enregistrement national.