Questions fréquentes

Nous pouvons vous encourager à la mutualisation de ressources SSI (sécurité des systèmes d'information) et à vous rapprocher de votre CRRC (centre régional de ressources cybersécurité). Par ailleurs, cet aspect sera pris en compte dans l'appel à projet cybersécurité pour le médico-social en cours de construction.  Les contacts des CRRC sont publiés ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

Lors du signalement de votre incident sur le portail https://signalement.social-sante.gouv.fr/espace-declaration/profil ou au 09 72 43 91 25, vous aurez l'opportunité de demander un accompagnement.

Le CERT-Santé prendra alors contact avec vous pour vous accompagner. Le portail du CERT Santé dispose également de dossiers thématiques pour vous accompagner en cas de crise. 

Une fois le diagnostic réalisé, vous disposez d'un plan d'action qui sera spécifique à votre structure. Pour prendre connaissance des actions de base à prévoir, nous vous invitons à télécharger le guide en 13 questions pour la cybersécurité dans le médico-social : https://esante.gouv.fr/essms/cybersecurite

Dans le cas d'un ESMSS relevant du champ de protection de l'enfance, ou des personnes connaissant des difficultés spécifiques, ou de la protection juridique des majeurs et accueil, ou de l'hébergement insertion, il peut prétendre à un financement dans le cadre de ESMS numérique.

En effet, dans le cadre de la phase de généralisation, ces ESMSS peuvent candidater aux appels à projets régionaux publiés par les ARS ou à l'AAP national qui sera publié par la CNSA et la DNS.

Seuls les éditeurs référencés Ségur pourront être sélectionnés par les porteurs de projet sur les couloirs MS1 et MS2. Selon l'instruction 2025, pour les étabblissements AHI, il faut que l'éditeur soit enregistré au guichet de référencement à la date de signature de la convention ARS. Pour les établissement PJM, il n'y a pas d'obligation de s'équiper d'un éditeur référencé Ségur.

Nous vous invitons à contacter le CRRC de votre région afin de prendre connaissance de l'offre et des différents services proposés par ce dernier : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

Le Plan de Reprise Informatique (PRI) est complémentaire au Plan Bleu et au Plan de continuité et de reprise d'activité (PCRA). Nous vous invitons à prendre connaissance de la note de présentation du PCRA qui précise l'articulation entre les trois dans le kit PCRA pour le médico-social : https://esante.gouv.fr/essms/cybersecurite

Oui, les deux sont complémentaires. 

Aucun outil imposé, seulement des proposition d'actions. La mise en œuvre reste à la main de chaque structure

Oui, même si l'éditeur joue le rôle d'administrateur technique dans la structure, l'ESMS doit adhérer aux services de l'ANS pour commander des CPx et déléguer ensuite la gestion des certificats à l'éditeur. La gestion est déléguée mais la commande (F413) est quand même à signer par la structure. Retrouvez les formulaires disponibles ici  : https://esante.gouv.fr/index-des-formulaires

La fiabilité du système de sécurisation des données de santé personnelles de Mon espace santé s’appuie sur la mise en œuvre d’un ensemble de garanties techniques :

• la conception et l’hébergement en environnement certifié HDS (Hébergeurs de Données de Santé); 
• des vérifications sur les mesures de protection sont réalisées plusieurs fois par an au travers d'audits externes. Ainsi des tests de pénétrations permettent de juger de l’efficacité des mesures en place. Chaque évolution de l’application fait l’objet d'un contrôle systématique;
• au regard de la réglementation en vigueur, les homologations nécessaires sont réalisées lors de chaque évolution majeure de l’application (RGS, HDS).