Des actions de sensibilisation sont déjà proposées par les GRADeS dans les différentes régions.  

Concernant l’aspect formation, celui-ci est déjà pris en compte par les organismes de formation (en lien avec l'objectif 11 du plan d'action CaRE). 

Par ailleurs, les CRRC (Centres Régionaux de Ressources Cybersécurité) peuvent proposer des catalogues de formation à destination des professionnels informatiques (direction des systèmes d'information [DSI], responsable de la sécurité des systèmes d'information [RSSI], etc.).

Les candidatures aux différents domaines sont indépendantes les unes des autres. Il n'est pas nécessaire de postuler à un domaine pour pouvoir candidater à un autre. Vous pouvez tout à fait choisir de candidater à plusieurs domaines simultanément.

Cependant, il est important de noter que les objectifs d'un domaine peuvent parfois devenir des prérequis pour un domaine ultérieur. Ainsi, les compétences acquises dans un premier domaine peuvent être utiles, voire indispensables, pour réussir dans un second domaine.

Les priorités ne dépendent pas des axes du plan d'action mais des thématiques/sujets identifiés comme prioritaires par l'équipe programme CaRE. 

Les appels à financements n'ont pas pour ambition de ralentir les initiatives des établissements qui ont le souci de renforcer au quotidien leur sécurité opérationnelle.

Nous ne préconisons pas aux établissements d'attendre que les arrêtés soient publiés pour oeuvrer au quotidien dans leur mission.

Nous invitons toutefois les établissements à partager leurs expériences dans le cadre des ateliers de co-construction (en lien avec leurs fédérations ou leurs ARS) afin que nous puissions définir des objectifs qui permettent de valoriser des travaux à engager. 

Les pièces justificatives sensibles devront être transmises via la plateforme sécurisée eCARE en utilisant un conteneur ZED, une solution validée par le fonctionnaire de la sécurité des systèmes d'information (FSSI). Les webinaires des 16 juillet et 9 septembre 2024 détaillent la procédure pour créer ces conteneurs. Vous pouvez les consulter sur le site esanté : https://esante.gouv.fr/webinaires

Le guide d’utilisation eCaRE pour les établissements de santé, disponible sur la page d'accueil de la plateforme Convergence (https://convergence.esante.gouv.fr/), explique également en détail la procédure d'utilisation du conteneur ZED.

Dans le cas où un établissement de santé (ES) perdrait ses accès à un conteneur ZED, nous distinguons deux scénarios : ​​

• Si l'ES a encore accès à l'autre conteneur mis à sa disposition dans le cadre de la déclaration d'atteinte des objectifs, il peut télécharger à nouveau une version vide de ce conteneur en cliquant sur le bouton "Télécharger un conteneur" de l'objectif correspondant. Il aura ainsi un deuxième conteneur ZED vide dont il connait les accès et qu'il pourra renommer et ouvrir en utilisant les identifiants connus. Une fois les preuves déposées dans ce conteneur, l'ES peut le charger dans tous les espaces de dépôt acceptant des fichiers ZED (objectifs D1.O1 et D1.O2).​​
• Si l'ES a perdu les accès aux deux conteneurs ZED mis à sa disposition, nous pouvons lui assigner un nouveau conteneur ZED suite à l'envoi d'une demande au support Convergence (ans-support-convergence@esante.gouv.fr). L'ES pourra alors télécharger le nouveau conteneur depuis son formulaire de déclaration, en notant les identifiants qui lui seront communiqués pour ouvrir le conteneur ZED.​​

A noter que les administrateurs de la plateforme Convergence n'ont pas accès aux identifiants et mots de passe des conteneurs ZED mis à disposition des établissements.​

L'ANS va réaliser des opérations de contrôle, tant techniques que financiers, afin de vérifier la bonne atteinte des objectifs par les établissements. Ces opérations se dérouleront par une étude des pièces transmises par l'établissement en amont, complétée, si nécessaire, par des entretiens avec l'établissement.

Les étapes sont les suivantes :

-Un premier niveau de vérification sera réalisé par les ARS pour vérifier la complétude du dossier.

- Un second niveau de vérification sera effectué par l’ANS pour contrôler l’atteinte des objectifs. Les webinaires des 16 juillet et 9 septembre détaillent le contenu de ces contrôles. Vous pouvez les consulter sur la chaîne de l'ANS : https://www.youtube.com/watch?v=24cP73AaOFE et https://www.youtube.com/watch?v=FX6ItQPhstY

Les ESMS ne sont pas concernés par les objectifs du Domaine "Annuaires techniques et exposition sur internet" .

Par conséquent, leurs annuaires ne font pas partie du périmètre des AD dont l'audit est demandé et pris en compte dans l'atteinte des objectifs. Cependant, il est tout à fait souhaitable que les EHPADs suffisamment matures puissent bénéficier des actions engagées pour les établissements sanitaires du GHT.

L'arrêté du 22 janvier 2025, modifiant l'arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction - "Annuaires techniques et exposition sur internet" , a été publié au Journal officiel le 30 janvier 2025 (https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000051058973).

Cet arrêté rectificatif a redéfini la phase opérationnelle. Le démarrage de la phase opérationnelle doit être compris entre la date de publication de l’arrêté du Domaine "Annuaires techniques et exposition sur internet" (22 mars 2024) et le 20 septembre 2024. Cette date du 20 septembre a été décidée en concertation avec l’ANSSI pour ne pas impacter les établissements de santé par la non mise à disposition du portail club SSI cet été.

La phase opérationnelle s’achève au dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié, soit le 30 juin 2025 au plus tard​.

Nous vous invitons à contacter votre ARS et l'ATIH ainsi qu'à nous faire part de cette information via notre support : https://esante.gouv.fr/contact dans le cas où vous votre demande n'aboutirait pas.