Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.
🔎N'oubliez pas de sélectionner une offre avant de pouvoir filtrer votre recherche par produit.
37 questions / réponses
37 questions / réponses
Non, la validation de l'objectif D2.O1.C repose sur la transmission du BIA et du PCRA établi sur a minima le périmètre de trois activités critiques (i.e. service de soins, plateau technique, processus administration) et de la liste des activités critiques identifiées. La transmission d'un plan d'action n'est pas acceptée.
Cette réponse vous a-t-elle été utile ?
En réponse à l'objectif D2.O1.C, le candidat doit traiter trois périmètres a minima : (i) un service de soins, (ii) un plateau technique, (iii) le processus administratif le plus critique. Le scénario d'indisponibilité informatique doit être obligatoirement traité sur chacun des périmètres, et un autre scénario d'indisponibilité doit être traité pour chaque périmètre.
Oui, le candidat est libre du choix de ce second scénario d'indisponibilité, qui peut être différent pour chaque périmètre (par exemple, le risque d’indisponibilité bâtimentaire est adressée pour un périmètre, et le risque d’indisponibilité RH est adressé pour un autre périmètre). L'ANS préconise d'adresser l'ensemble des scénarios d'indisponibilité bien que cela ne soit pas exigé pour valider le sous-objectif.
Cette réponse vous a-t-elle été utile ?
Il est fortement recommandé de réaliser un test portant sur les 4 scénarios d'indisponibilités listés dans le kit PCA / PRA proposé par l’ANS : indisponibilité des ressources humaines, indisponibilité bâtimentaires, indisponibilité des fournisseurs et indisponibilité informatique.
Toutefois, la validation de l’objectif D2.O1.D repose sur la conduite d’un seul exercice de continuité d’activité, libre de choix par le candidat. L’ANS recommande néanmoins de réaliser un test abordant simultanément plusieurs scénarios d’indisponibilité.
- Pour les GHT avec plusieurs entités juridiques : le test du PCA doit être réalisé pour un nombre d’entité juridique représentant au moins 66% de l’activité combinée du candidat ;
- Pour les structures (hors GHT) ayant plusieurs entités géographiques : le test du PCA doit être réalisé pour un nombre d’entité géographique représentant au moins 66% de l’activité combinée du candidat.
Le test doit avoir être réalisé durant la phase opérationnelle de l'appel à financement, et un calendrier de planification des autres tests doit être soumis. Il n’est pas nécessaire de signer les documents justificatifs de réalisation du test. En revanche, il sera nécessaire fournir le PCA utilisé (s’il n’a pas déjà été soumis dans le cadre de l’objectif D2.O1.C), le scénario de test mis en œuvre ainsi qu’un retour d’expériences du test intégrant un plan d’amélioration continue.
Cette réponse vous a-t-elle été utile ?
Les financements alloués au titre du domaine 2 du programme CaRE sont versés à l’entité juridique candidate, conformément à la convention signée avec l’ANS. La redistribution éventuelle de ces financements vers les entités juridiques ou géographiques relève de l’organisation interne du candidat et de sa responsabilité.
Cette réponse vous a-t-elle été utile ?
Non. Le critère « 1 » de la stratégie 3-2-1 vise la conservation d’une copie hors site, c’est-à-dire dans un emplacement physique distinct de celui des données de production, ou hors ligne, c’est-à-dire non connectée au réseau.
Le stockage d’une sauvegarde dans un autre espace du même bâtiment ne permet pas de répondre à l’exigence « hors site ». En revanche, le stockage d’une sauvegarde dans un coffre ignifugé dans un autre local du même bâtiment permet de répondre à l’exigence « hors ligne ».
Cette réponse vous a-t-elle été utile ?
Une sauvegarde est considérée comme immuable dès lors qu’elle ne peut pas être modifiée ni supprimée, volontairement ou involontairement, pendant une durée définie, reposant sur une garantie technique. En l’absence de référentiel fixant une durée minimale ou maximale, la durée retenue doit être cohérente et justifiée au regard des objectifs de sécurité, de restauration et de résilience poursuivis. Une durée inadaptée peut soulever des interrogations lors de l’analyse de conformité.
La réutilisation des supports de sauvegarde à l’issue de cette période est possible, sous réserve que l’immuabilité soit garantie pendant toute la durée définie. La conformité est appréciée au regard de la cohérence globale de la solution mise en œuvre et des éléments justificatifs transmis.
Cette réponse vous a-t-elle été utile ?
Un système d’information peut être qualifié de SI mutualisé lorsqu’il est utilisé par plusieurs établissements d’un même candidat dans une organisation commune.
La mutualisation ne repose pas uniquement sur l’utilisation d’un même logiciel, mais sur l’existence de pratiques homogènes et convergentes, notamment en matière de sauvegarde et de restauration. Un SI est considéré comme mutualisé lorsqu’il repose sur une instance unique, ou lorsque le même applicatif est déployé avec la même version, le même paramétrage et une organisation commune.
Des instances indépendantes gérées séparément ne constituent pas un SI mutualisé. Lorsque le SI est mutualisé, les politiques et plans associés peuvent être établis à l’échelle du service mutualisé, sous réserve que leur périmètre soit clairement précisé.
Cette réponse vous a-t-elle été utile ?
Dans le cadre de l’objectif D2.O3.B, la notion de « bouton rouge » désigne la capacité technique à isoler rapidement l’infrastructure de sauvegarde du reste du système d’information en cas d’incident de sécurité.
Il n’est pas attendu que cette capacité soit déjà mise en œuvre opérationnellement. L’objectif vise à définir une capacité cible et la trajectoire associée, permettant une isolation rapide, centralisée et maîtrisée, déclenchable sur décision du RSSI ou de l’astreinte.
Le « bouton rouge » ne correspond pas nécessairement à un bouton physique : il s’agit d’une action simple, immédiate et sans ambiguïté, reposant sur des mécanismes d’isolement pilotés et robustes, plus fiables que des actions manuelles ponctuelles.
Les justificatifs attendus doivent permettre de matérialiser cette capacité, notamment au travers d’un schéma d’architecture cible, de la description des flux, et d’une procédure formalisée d’isolement en cas d’incident.
Cette réponse vous a-t-elle été utile ?
Dans le cadre de l'objectif D2.O1.C, l'établissement doit réaliser un BIA sur a minima 3 services critiques (service de soin, plateau technique et processus administratif). En pratique tous les établissements de santé disposent d'un processus de soin, d'admission et de paie, qui correspondent aux 3 services critiques attendus.
Cependant, cas exceptionnel où l'établissement ne dispose pas de l'un de ces 3 services critiques :
• Si le candidat ne dispose d'aucun plateau technique, alors il est invité à réaliser (i) 2 BIA / PCRA sur deux services de soins, et (ii) 1 BIA / PCRA sur le service administratif / support le plus critique.
• Si le candidat ne dispose pas de plateau technique et d’un unique processus de soin, alors il est invité à réaliser (i) 1 BIA / PCRA sur son service de soins, et (ii) 2 BIA / PCRA sur les services administratif / supports les plus critiques.
Pour rappel, les BIA ainsi que les PCRA doivent être formalisés pour un nombre d'EG/EJ représentant au moins 66% de l'activité combinée du candidat.
Cette réponse vous a-t-elle été utile ?
Dans le cadre d'atteinte de l'objectifs D2.O1.B "Décrire les procédures de réponse à la gestion de la crise cyber", il est demandé d'intégrer les risques numériques au plan blanc.
Ces modalités de réponse doivent s'entendre comme des modalités organisationnelles et de gouvernance de la gestion de la crise cyber (). La description des actions techniques à un incident n'est pas attendue dans le plan blanc, et ce dans la mesure où elle relève des autres dispositifs tels que PCA/PRA/procédures de réponse à la gestion de la crise cyber /etc.
À ce titre, il est recommandé que le plan blanc (ou son extrait) puisse permettre d’identifier :
• la prise en compte explicite du risque numérique comme un type de crise à part entière ;
• les conditions de déclenchement d’une gestion de crise cyber ;
• l’organisation de la cellule de crise en cas d’incident numérique (rôles, pilotage, articulation avec la
direction et le SI) ;
• les principes généraux de gestion de la crise (coordination, communication, signalement).
Cette réponse vous a-t-elle été utile ?
Retrouvez les informations dans votre espace dédié
-
Professionnel et structure libérale
-
Etablissement de santé
-
Structure médico-sociale
-
Entreprise du numérique en santé
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Besoin d’aller plus loin dans vos démarches ?
Centralisez vos démarches, suivez vos demandes et accédez à l’ensemble de vos services ANS depuis votre Espace Authentifié :
Vous souhaitez nous contacter ?
Notre équipe est à votre écoute pour vous assister dans vos démarches.