FAQ de l'offre : Ségur du numérique en santé

En effet, dans le cas où l’exercice terrain de continuité d’activité était mutualisé avec la réalisation d’un exercice de crise cyber, les dépenses associées à la réalisation conjointe des deux tests sont-elles éligibles dans le cadre du domaine n°2 ? 

Pour rappel, seules les dépenses concourant directement à l’atteinte des objectifs du présent domaine sont éligibles. La réalisation d’un exercice de crise cyber n’est pas prévu par le domaine n°2 « continuité d’activité et sauvegarde » et faisait l’objet d’une dépense éligible dans le cadre du domaine n°1 du programme CaRE.

Par principe, les coûts associés à la réalisation d’un exercice de crise cyber ne sont pas éligibles. 

 

Les coûts associés à la mobilisation des ressources humaines du candidat sont éligibles, y compris pour les professionnels de l’équipe de soins impliqués dans la rédaction du BIA et/ou du PCRA. 

Néanmoins, il est rappelé que ces coûts doivent être explicitement justifiés au regard des activités du programme, notamment via la transmission d’une lettre de mission nominative. 

Les candidats sont ainsi invités à identifier les collaborateurs les plus engagés dans la démarche de rédaction du BIA et/ou du PCRA pour émettre une lettre de mission et faciliter la justification ultérieure des coûts engagés.
 

L'attendu défini pour le D2.01.C porte sur la réalisation d’un plan de continuité d’activité établie sur la base de 2 scénarios d’indisponibilité portant sur (i) l'indisponibilité du SI, et (ii) un autre scénario au choix du candidat.

Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaire, indisponibilité des fournisseurs et indisponibilité informatique. Auquel cas, l'ensemble des dépenses associées à la réalisation des scénarios d'indisponibilité non encore couverts sont éligibles.
 

Il est possible pour un établissement de valoriser des actions de formation si elles ont permis de contribuer directement à l'atteinte d'un objectif (par exemple, pour des professionnels disposant d'une lettre de mission) du présent domaine. 

Les formations citées en exemples (ISO 270001, 27002, 27005, EBIOS) ne contribuent pas directement à l’atteinte d’un objectif du domaine, et ne sont pas des dépenses considérées éligibles.
 

L’ensemble des dépenses réalisées pendant la phase opérationnelle pour contribuer à l’atteinte des objectifs du Domaine 2 sont éligibles à un subventionnement. À titre d’exemple, le recours à la prestation externe, l’acquisition d’un SMCA ou encore la mise en œuvre d’un nouveau système de sauvegarde sécurisée sont éligibles – étant entendu que cette liste n’est pas exhaustive.

Il est à noter que l’ensemble des dépenses réalisées durant la phase opérationnelle concourants à l'élaboration du PCRA seront éligibles, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs qui ne constitue pas une limite.

En ce qui concerne les objectifs visant à « s’inscrire dans une démarche », les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l’AAF Domaine 2. Les coûts associés à la mobilisation des ressources humaines du candidat sont également éligibles.

Néanmoins, il est à souligner que ces coûts doivent être explicitement justifiés au regard des activités du programme. Aussi, nous recommandons aux établissements de favoriser les dépenses associées à des travaux de prestation intellectuelle, d’acquisition de solutions informatiques, ou des coûts RH associés à la mobilisation de personnels disposant d’une lettre de mission dans le cadre du Domaine 2.Une trame de justification des coûts – similaire dans son formalisme à celle du Domaine 1 – sera également fournie.
 

Oui, seules les dépenses concourant à l’atteinte des objectifs réalisées entre la date de publication de l'arrêté et la date de dépôt de l'atteinte des objectifs peuvent être prises en compte pour le calcul du montant de financement.

Oui, l'obligation est toujours applicable au 1er janvier 2026. Des travaux de révisions du référentiel d'identification électronique (RIE) PGSSI-S sont actuellement en cours (CNIL et ANSSI). Pour en savoir plus, nous vous invitons à consulter le replay du webinaire du 20/06/2025 qui traite de la sécurisation de la chaîne d'identification électronique des professionnels avec un retour d'expérience des lauréats d'HospiConnect. 

Les établissements de santé sociaux et médico-sociaux (ESMS) peuvent bénéficier des exercices de crise cyber, même s'ils ne sont pas intégrés aux différents "domaines" de l'axe 4 du programme CaRE. Pour ce faire, la structure doit contacter le centre régional de ressources cybersécurité (CRRC) de sa région (un CRRC par région). Les contacts des CRRC sont listés sur la page suivante : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

Pour en savoir plus sur les premières actions cyber à mener par une structure médico-sociale, nous vous invitons à consulter la page suivante sur le site de l'ANS : https://esante.gouv.fr/essms/cybersecurite

Non, cela n'est pas possible. L'appel à financement sur les annuaires techniques et l'exposition internet s'adresse aux établissements de santé. 

Toutefois, dans le cadre du programme CaRE, nous finançons les CRRC (centres régionaux de ressources cyber) qui déploient des actions cyber notamment à destination des ESMS. Pour en savoir plus : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

Nous vous invitons à contacter le CRRC(centre régional de ressources cyber) de votre région afin de prendre connaissance de l'offre et des différents services proposés pour réaliser un diagnostic et un exercice de crise. 

Il y a des CRRC dans chaque région. Les contacts des CRRC sont publiés ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2