Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), si celle-ci est bien documenté ils auraient tort de se priver de remplir le prérequis avec ces éléments (plutôt que produire un nouveau document qui leur sera d’aucune utilité). ( ma lecture…). Cordialement, Franz De : Romain ZERR par Membres <membres@listes.rssi-sante.fr> Envoyé : mardi 14 octobre 2025 08:44 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr> Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; Romain ZERR <r1zerr@chu-besancon.fr> Objet : [Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Mesdames, Messieurs, Je suis pris d’un gros doute. Le prérequis 2 sur l’organisation projet. J’avais dans l’idée qu’il s’agissait de l’organisation projet de l’atteinte des objectifs du D2, mais on pourrait l’interpréter également comme l’organisation « finale » de la gestion de la continuité au sein des établissements. Du coup, je ne sais plus trop ce qui est attendu. Je vois passer des documents de ceux qui ont déjà une démarche bien en place, ce qui me fait pencher pour la bonne solution, mais comme c’est un peu aussi l’objectif pour ceux qui sont pas PCA compliant, je ne sais plus à quel saint me vouer. Cordialement Romain Zerr Responsable de la Sécurité des Systèmes d’Information Direction GENeRALE 3 bd Alexandre Fleming, 25030 Besançon Cedex Fixe : 03 81 21 86 51 (18 651) GSM : 06 66 03 84 13 [cid:image005.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image013.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image014.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image015.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image016.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image017.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image018.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : jeudi 9 octobre 2025 17:03 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [CHUB-SPAM] [CHUB-SPAM] [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat. Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document. D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente. D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ? Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés. D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1). D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants. D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention. Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement. Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image019.png@01DC3CE9.74332E30] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image020.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...>
