FAQ de l'offre : Ségur du numérique en santé

Le guide des prérequis et objectifs du Domaine 2 précise que la mise en œuvre du principe 3-2-1 implique une copie immuable hors ligne ou hors site.

Cela signifie qu’il s’agit d’un support distinct de la sauvegarde en ligne (par exemple : robot cassette, bande, hébergeur tiers).
 

Non, le PAS du prestataire n’a pas à reprendre l’intégralité des éléments d’une politique interne de sauvegarde.

En revanche, il est indispensable de vérifier que le PAS couvre bien les exigences attendues (disponibilité, intégrité, sécurité, modalités de restauration) et qu’il répond aux besoins définis par l’établissement.
 

Il n’existe pas de trame de questions formalisée dans le cadre du programme CaRE. Il appartient à l’établissement de s’assurer que les documents contractuels fournis par l’éditeur couvrent bien ses besoins, notamment en matière de disponibilité des plateformes, de sauvegardes et d’attentes métiers.

Il appartient à l’établissement de s’assurer que les documents contractuels fournis par l’éditeur couvrent bien ses besoins, notamment en matière de disponibilité des plateformes (DMIA), de sauvegarde (PDMA) et d’attentes métiers.
 

La transmission d'une attestation ou d'un contrat de prestation HDS ne permet pas la validation de l'objectif.  
En revanche, la transmission du contrat de service et du PAS d'un prestataire HDS répondent aux attendus de l'objectif D2.O2.B. 
 

Dans le cas des GHT, le montant plafond est défini à l'échelle du candidat et les subventionnements sont versés à l'établissement support conformément à la convention qui liera le candidat à l'ANS.

La répartition des subventions obtenues par le candidat entre les entités juridiques et le composant est bien de la responsabilité dudit candidat.
 

Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. 

Par conséquent, si un type de donnée fait l’objet de règles spécifiques, cette politique doit en faire mention.
 

Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : 

• un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu ;
• deux PAS présentés à titre d’exemple.

Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire.
L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.
 

Dans le cadre de l'objectif D2.O1.C, les attendus sont les suivants :

• le candidat doit réaliser un BIA puis formaliser un PCRA par activité critique (au minimum : un service de soins, un processus administratif critique, un plateau technique, soit au moins 4 PCRA) ;
• chaque PCRA décrit les solutions de continuité et de reprise propres à l’activité considérée ;
• le candidat doit également soumettre le PCRA cadre, qui est le plan de réponse du niveau stratégique en cas d’évènement perturbateur. Il n’est pas demandé de produire un PCA global unique couvrant toutes les activités. 

L’exigence est bien la formalisation du PCA cadre et des PCRA par activité critique identifiée dans le BIA.

Pour l'objectif pour D2.O1.C, le BIA et le PCRA doivent être réalisés sur trois périmètres critiques (service de soins, processus administratif, plateau technique).

Dans un GHT, ces livrables doivent couvrir un nombre d’entités juridiques représentant au moins 66 % de l’activité combinée du candidat.

Si un système d'information est mutualisé entre plusieurs établissements, alors le risque numérique lié aux activités qu'il outille peut-être traité de manière mutualisée dans le BIA et le PCRA. Le candidat est invité à porter une vigilance quant à l'analyse des impacts en termes de processus et l'applicabilité des mesures de continuité d'activité aux différentes entités (géographiques ou juridiques) outillé par le SI. Le candidat devra clairement préciser le périmètre des entités (juridiques ou géographiques) concernées par ces documents.

En revanche, le BIA et le PCRA d'un second risque (RH, bâtiment, approvisionnement) ne peut être mutualisé dans la mesure où les processus et organisations métier peuvent être dépendantes du site.
 

Le test de continuité d'activité doit avoir été réalisé durant la phase opérationnelle du domaine, c'est à dire entre la date de publication de l'arrêté et la date de clôture du guichet de preuve.

De la même manière, les dépenses éligibles doivent être associées à des engagements et factures obtenus durant la phase opérationnelle.