Bonjour Thomas,

 

J’espère que tu vas bien !

 

En premier lieu, merci à tous les membres du club qui ont fait ces remontés, et un double merci aux membres du bureau qui les ont consolidées !

Nous avons essayé de répondre le plus précisément possible aux questions, que nous allons pour la plupart intégrer à la FAQ à cette occasion. N’hésite pas à nous dire si certains points restent flous ou posent problème.

 

 

Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS

Comme indiqué en annexe 2 de l'arrêté, ne sont éligibles à l'AAF Domaine 2 que les établissements possédant un identifiant FINESS juridique dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205. Les EJ médicaux-sociaux ne sont pas concernés.

En revanche, ces EJ seront éligibles au futur AAP CaRE dédié au secteur médico-social. Le calcul actuel de l’AC n’est d’ailleurs pas applicable pour les EJ MS.

Action à mener : ajout FAQ

 

Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?

    Dans le cadre du Domaine 1, l'atteinte de chaque objectif est conditionnée à l'atteinte par chaque EJ du GHT (à l'exception de l'objectif D1.O1.B pour lequel une souplesse est exprimée en part d'activité combinée).

    Il en sera de même pour le Domaine 2 avec des souplesses, en part d'activité combinée, pour les objectifs D2.O1.C et D2.O1.D.

    Action à mener : sans objet (détail du périmètre de chaque objectif déjà dans le guide)

 

 

 D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ?

De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?

    L'attendu minimal porte sur la formalisation :

·                    du PCA cadre (au sens du kit)

·                    du PCA de chaque activité critique ayant fait l'objet d'une BIA

    Le tout peut constituer un document unique ou des documents disjoints complémentaires, le format n'étant pas imposé.

    Action à mener : ajout guide + ajout FAQ

 

D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ?

L'ensemble des actions menées durant la phase opérationnelle concourants à l'élaboration du PCRA seront valorisables dans le cadre de l'AAF, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs, celui-ci permettant de mesurer l’atteinte de la cible, mais ne constituant pas une limite.

Action à mener : ajout FAQ

 

D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?

    Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).

    Toutefois, seuls le traitement du scénario d'indispo des SI et d'un second scénario au choix sont obligatoires.

    Action à mener : ajout guide + ajout FAQ

 

                     

 D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.

     Il est recommandé de tester le PCA sur les différents scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).

    Toutefois, seul le test d'un scénario, à choisir par le candidat, est obligatoire.

    Action à mener : ajout guide + ajout FAQ 

 

 

D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?

    Un exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique). Définition fournie dans le kit PCRA (document 03_Kit PCA_PRA_Gestion du PCRA).

    Action à mener : ajout guide + ajout FAQ 

 

 

D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ?

Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».

    Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'AAF Domaine 2.

    En particulier, les deux exemples mentionnés sont bien valorisables pour ce qui concerne les dépenses réalisées pendant la phase opérationnelle.

    Action à mener : ajout guide + ajout FAQ 

 

D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?

    Au moins un des tests menés doit concerner un environnement de production. Celui-ci doit concerner un système dont la criticité pour l’activité de l’établissement est établie.

    Action à mener : ajout guide + ajout FAQ

 

 

Bonne fin de journée,

Christophe

 

 

Christophe Mattler
Directeur de projets

Délégation au Numérique en Santé


14, Avenue Duquesne, 75007 PARIS

Mob : 06 64 15 62 03 

christophe.mattler@sante.gouv.fr

 

 

 

 

De : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>
Envoyé : lundi 21 juillet 2025 10:15
À : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr>; Richard.DE-LAMAZIERE@esante.gouv.fr; Steven GARNIER <Steven.GARNIER@esante.gouv.fr>
Cc : bureau@listes.rssi-sante.fr
Objet : [Club RSSI Santé] Premiers retours sur la publication D2 CaRE

 

Bonjour à tous, Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.

ZjQcmQRYFpfptBannerStart

[Externe]

[Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr.

ZjQcmQRYFpfptBannerEnd

Bonjour à tous,

 

Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.

 

Nous souhaitions vous faire un premier retour rapide afin d’aider potentiellement à l’alimentation du Webinaire prévu demain,

 

Nous restons à disposition si nécessaire pour compléter les points ci-dessous,

 

Bien cordialement.

 

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

 

Points remontés par les membres du Club :

 

 

Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS

 

Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?

 

D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ?

De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?

 

D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ?

 

D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?

 

D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.

 

D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?

 

D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ?

Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».

 

D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?

 

 

 

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

 

 

Pour le Club RSSI Santé

 

Thomas AUBIN

Responsable de la Sécurité du Système d’Information

Cellule Conformité Numérique

Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille

06.24.53.72.98 / thomas.aubin@chu-lille.fr