Foire aux questions Cybersécurité accélération et Résilience des Etablissements (CaRE)

Mise à jour le 17/06/2025

88 résultats

Pourquoi parle-t-on de PCRA et non de PCRI ?

Axe 1 - Gouvernance et résilience

Un Plan de Continuité et de Reprise d'Activité (PCRA) est plus global qu'un Plan de Continuité des Ressources Informatiques (PCRI), ce dernier étant une composante intégrante du PCRA.

L’objectif du PCRA est de maintenir la continuité de l’activité en cas de crise, en privilégiant d'abord les solutions métiers et les moyens organisationnels. Les actions techniques et informatiques visant à assurer la continuité des systèmes d'information sont complémentaires et détaillées dans le PCRI.
 

Quel est le lien entre le PCRA et le guide plan blanc numérique ?

Axe 1 - Gouvernance et résilience

Les liens entre le PCRA et le guide plan blanc numérique sont explicités dans le webinaire du 15 mars 2025 dédié au PCRA  : https://www.youtube.com/watch?v=JKqmBuy0AZk.

Quel est le calendrier de mise en oeuvre de l'O.G. 8 de l'instruction CRRC ?

Axe 2 - Ressources et mutualisations

Selon l'instruction (N°DNS/2024/54), le projet innovant peut être proposé à la direction du programme CaRE en année 1, c'est-à-dire d'ici mai 2025. Le projet retenu doit être mis en œuvre en année 2.  

La région est libre d'établir son propre calendrier, mais les objectifs doivent être atteints au plus tard en mai 2026.

Dans le cas où le budget n'atteint pas la totalité des 10% alloués à l'objectif O.G. 8, quid du reliquat ?

Axe 2 - Ressources et mutualisations

Si le budget n'atteint pas la totalité des 10% alloués à l'objectif O.G. 8, le reliquat peut être reporté sur les autres objectifs de l'instruction CRRC.

Les GRADeS pourront-ils proposer des formations aux professionnels des établissements, sanitaires ou médico-sociaux ?

Axe 3 - Sensibilisation

Des actions de sensibilisation sont déjà proposées par les GRADeS dans les différentes régions.  

Concernant l’aspect formation, celui-ci est déjà pris en compte par les organismes de formation (en lien avec l'objectif 11 du plan d'action CaRE). 

Par ailleurs, les CRRC (Centres Régionaux de Ressources Cybersécurité) peuvent proposer des catalogues de formation à destination des professionnels informatiques (direction des systèmes d'information [DSI], responsable de la sécurité des systèmes d'information [RSSI], etc.).

Comment sont liées les candidatures aux différents domaines et peut-on candidater à plusieurs domaines en même temps ?

Axe 4 - Sécurité opérationnelle

Les candidatures aux différents domaines sont indépendantes les unes des autres. Il n'est pas nécessaire de postuler à un domaine pour pouvoir candidater à un autre. Vous pouvez tout à fait choisir de candidater à plusieurs domaines simultanément.

Cependant, il est important de noter que les objectifs d'un domaine peuvent parfois devenir des prérequis pour un domaine ultérieur. Ainsi, les compétences acquises dans un premier domaine peuvent être utiles, voire indispensables, pour réussir dans un second domaine.

Y a-t-il une notion de séquencement ou de priorité entre les axes ?

Axe 4 - Sécurité opérationnelle Domaine Audits techniques - Candidature et déclaration atteinte objectifs

Les priorités ne dépendent pas des axes du plan d'action mais des thématiques/sujets identifiés comme prioritaires par l'équipe programme CaRE. 

Si la continuité d'activité et les accès distants ne sont traités ultérieurement, doit-on attendre avant de sécuriser son SI pour obtenir les financements?

Axe 4 - Sécurité opérationnelle

Les appels à financements n'ont pas pour ambition de ralentir les initiatives des établissements qui ont le souci de renforcer au quotidien leur sécurité opérationnelle.

Nous ne préconisons pas aux établissements d'attendre que les arrêtés soient publiés pour oeuvrer au quotidien dans leur mission.

Nous invitons toutefois les établissements à partager leurs expériences dans le cadre des ateliers de co-construction (en lien avec leurs fédérations ou leurs ARS) afin que nous puissions définir des objectifs qui permettent de valoriser des travaux à engager. 

Certains documents étant très sensibles, pourrons-nous transmettre les rapports d'audit de manière sécurisée ?

Domaine Audits techniques - Candidature et déclaration atteinte objectifs

Les pièces justificatives sensibles devront être transmises via la plateforme sécurisée eCARE en utilisant un conteneur ZED, une solution validée par le fonctionnaire de la sécurité des systèmes d'information (FSSI). Les webinaires des 16 juillet et 9 septembre 2024 détaillent la procédure pour créer ces conteneurs. Vous pouvez les consulter sur le site esanté : https://esante.gouv.fr/webinaires

Le guide d’utilisation eCaRE pour les établissements de santé, disponible sur la page d'accueil de la plateforme Convergence (https://convergence.esante.gouv.fr/), explique également en détail la procédure d'utilisation du conteneur ZED.

Si un établissement de santé perd ses accès à un conteneur ZED, quelle procédure devrait-il suivre ?

Domaine Audits techniques - Candidature et déclaration atteinte objectifs

Dans le cas où un établissement de santé (ES) perdrait ses accès à un conteneur ZED, nous distinguons deux scénarios : ​​

  • Si l'ES a encore accès à l'autre conteneur mis à sa disposition dans le cadre de la déclaration d'atteinte des objectifs, il peut télécharger à nouveau une version vide de ce conteneur en cliquant sur le bouton "Télécharger un conteneur" de l'objectif correspondant. Il aura ainsi un deuxième conteneur ZED vide dont il connait les accès et qu'il pourra renommer et ouvrir en utilisant les identifiants connus. Une fois les preuves déposées dans ce conteneur, l'ES peut le charger dans tous les espaces de dépôt acceptant des fichiers ZED (objectifs D1.O1 et D1.O2).​​
  • Si l'ES a perdu les accès aux deux conteneurs ZED mis à sa disposition, nous pouvons lui assigner un nouveau conteneur ZED suite à l'envoi d'une demande au support Convergence (ans-support-convergence@esante.gouv.fr). L'ES pourra alors télécharger le nouveau conteneur depuis son formulaire de déclaration, en notant les identifiants qui lui seront communiqués pour ouvrir le conteneur ZED.​​

A noter que les administrateurs de la plateforme Convergence n'ont pas accès aux identifiants et mots de passe des conteneurs ZED mis à disposition des établissements.​