FAQ de l'offre : Ségur du numérique en santé

Une sauvegarde est considérée immuable si, une fois écrit, son contenu ne peut plus être modifié ni supprimé (volontairement ou involontairement) pendant une durée définie.

Cette immuabilité doit être garantie par la "technologie" (certifiée ou non / implémentation de mécanismes internes ou produit déjà packagé), et non seulement par des procédures organisationnelles.

Exemples considérés comme immuables :

• Bandes WORM (Write Once Read Many),
• Stockage objet avec verrouillage (Object Lock / mode WORM),
• Snapshots ou systèmes de sauvegarde offrant un mode immuable intégré.

Exemples non immuables / "altérables" :

• Bandes réinscriptibles classiques,
• Copies externalisées sans mécanisme technique de verrouillage,
• Sauvegardes sur disque/NAS standards pouvant être écrasées ou effacées.

En résumé : l’externalisation ou la redondance ne suffisent pas. Seule une contrainte technique empêchant toute modification/suppression prématurée (volontaire ou non) permet de qualifier la sauvegarde d’immuable.

Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'appel à financement Domaine 2.

A titre d’exemple, l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne » sont bien valorisables en ce qui concerne les dépenses réalisées pendant la phase opérationnelle.

Les tests relatifs au PCA sont spécifiques et visent à mettre en pratique les processus opérationnelles de continuité et de reprise d'activité au niveau des services. L’obligation de réalisation d’un exercice de crise cyber ne peut donc pas être remplie par la réalisation d’un exercice de terrain du PCA.

Des kits d’exercices de crise cyber prêts à l’emploi sont disponibles sur le site de l’ANS au lien suivant : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-1

Il est en revanche possible de réaliser simultanément un exercice de cybercrise (dans le format connu, et notamment exigé au titre du Domaine 1) et un exercice de continuité d'activité au sein des services.

Un test PCA ou exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique).

Des ressources méthodologiques sont mises à disposition par l’ANS et accessibles au lien suivant : https://esante.gouv.fr/media/12261

Il est fortement recommandé de réaliser un test portant sur les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaires, indisponibilité des fournisseurs et indisponibilité informatique.

Toutefois, seul le test d’un scénario à choisir par le candidat est obligatoire.

• pour les GHT avec plusieurs entités juridiques : le test du PCA doit être réalisé pour un nombre d’entité juridique représentant au moins 66% de l’activité combinée du candidat ;
• pour les structures (hors GHT) ayant plusieurs entités géographiques : le test du PCA doit être réalisé pour un nombre d’entité géographique représentant au moins 66% de l’activité combinée du candidat.

Le test doit avoir être réalisé durant la phase opérationnelle de l'appel à financement, et un calendrier de planification des autres tests doit être soumis. Il n’est pas nécessaire de signer les documents justificatifs de réalisation du test. En revanche, il sera nécessaire fournir le PCA utilisé (s’il n’a pas déjà été soumis dans le cadre de l’objectif D2.O1.C), le scénario de test mis en œuvre ainsi qu’un retour d’expériences du test intégrant un plan d’amélioration continue.

Le Plan Blanc est un dispositif de crise qui permet à un établissement de santé de mobiliser immédiatement les moyens de toute nature dont il dispose en cas d’afflux de patients, ou pour faire face à une situation sanitaire exceptionnelle.

Le Plan de Continuité et de Reprise d’Activité (PCRA) est un plan de réponse du niveau stratégique en cas d’événement perturbateur entraînant une indisponibilité d’une ou plusieurs ressources critiques.

Le PCRA est complémentaire au Plan Blanc. Si ces deux documents peuvent intégrer certaines procédures conjointes, un Plan Blanc ne constitue pas un PCRA.

L’attendu minimal porte sur la formalisation du PCRA cadre (dans le respect de la définition du kit PCA / PRA mis à disposition par l’ANS à l’adresse suivante : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-1) et du PCRA de chaque activité critique ayant fait l’objet d’un BIA.

Le tout peut constituer un document unique ou des documents disjoints complémentaires, aucun format n’étant imposé.

L'atteinte de l’objectif D2.01.C est validé selon les différentes typologies de candidats :

• pour les GHT avec plusieurs entités juridiques, les BIA et PCRA transmis doivent être formalisés pour un nombre d'entités juridiques représentant au moins 66% de l'activité combinée du candidat.
• pour les structures (hors-GHT) ayant plusieurs entités géographiques, les BIA et PCRA transmis doivent être formalisés pour un nombre d'entités géographiques représentant au moins 66% de l'activité combinée du candidat.

Si un des périmètres retenus conformément à la liste dessus est applicable aux établissements constituant le candidat, alors le BIA et le PCRA peut être fourni à l’échelle du candidat.

L'ensemble des documents afférents au Domaine 2 ainsi que des ressources pédagogiques ([ANS-Formation] - Coorpacademy) et didactiques (à l'exemple du kit PCA / PRA mis à disposition des structures) sont disponibles sur le site de l'ANS en suivant le lien : https://esante.gouv.fr/strategie-nationale/cybersecurite/securite-operationnelle/ressources

L'existence d'une PSSI de GHT ou à l’échelle du candidat permet-elle de valider le prérequis n°1 même si chaque établissement du GHT ou du candidat ne dispose pas de sa propre PSSI ?

Le D2.P1 attend que chaque candidat dispose d’une PSSI validée et revue entre le 16 juillet 2022 et la date de dépôt de candidature, fixée au plus tard au 31 octobre 2025. Ce document doit être signé par le représentant du candidat ou le représentant de chaque établissement constituant le candidat. En fonction de son organisation, ce document peut être fourni par candidat ou par chaque établissement constituant le candidat. Si l’entité juridique ou le GHT ne fournit pas une PSSI unique, l’établissement porteur de la candidature doit s’assurer que chaque établissement dispose de sa propre PSSI, signée par le directeur de l’établissement :

• pour les GHT, ce document peut être fourni au niveau des entités juridiques ;
• pour les EJ, ce document peut être fourni par entité géographique.

Aucun élément relatif au contenu ou à la structuration de la PSSI n'est imposé dans le cadre de ce prérequis.

Les établissements peuvent soumettre un document de présentation de la PSSI (et non la PSSI complète) selon un formalisme laissé à leur appréciation.

Le document de présentation devra néanmoins inclure (i) la date de mise à jour, (ii) la signature du représentant de la structure et (iii) le périmètre des entités juridiques et/ou géographiques appliquant cette politique.

Pour rappel, les candidats peuvent s’appuyer sur les contenus méthodologiques relatifs à la mise en œuvre d’une PSSI et disponibles aux liens suivants :

• https://cyber.gouv.fr/publications/pssi-guide-delaboration-de-politiques-de-securite-des-systemes-dinformation
• https://esante.gouv.fr/sites/default/files/media_entity/documents/pgssi-s_guide_pssi_non-expert-ssi-v-1.0.pdf