Bonjour Christophe,

 

Merci pour ce retour, que nous allons relayer auprès de nos membres,

Nous ne manquerons pas de revenir vers vous si besoin,

 

Bien cordialement.

 

 

Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr

 

 

 

 

 

Bonjour Thomas,

 

Je te prie de trouver ci-dessous nos réponses à vos interrogations, nous restons évidemment à disposition si besoin d’éclaircissements !

 

D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? 
Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? 

Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. 

La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés.  

 
Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat. 

 

  

Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? 

Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants :  
- Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. 
- Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. 
 
Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. 

 

D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? 

Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document. 

 

 

 D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? 

Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. 

Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.  

 

 

  

D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? 

Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. 

Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. 

 

Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. 

 

 

D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario.  

Pour justifier de l’atteinte de l’objectif, le candidat doit fournir :  

·       Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu 

·       Deux PAS présentés à titre d’exemple 

Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. 

L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés. 

  

D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. 

Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. 

L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. 

 
Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1). 

 

 D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? 

Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.  

  

D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. 

Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données.  

Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention. 

 

  

Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement. 

 Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. 

 

 

Financement : Est-ce qu’il est possible de valoriser les frais engagés : 

·       sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) 

·       sur l’achat de pare-feu interne ? (au titre du D2.03.B) 

·       sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) 

En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. 

Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. 

 

Bonne soirée,

Christophe

 

 

Christophe Mattler
Directeur de projets

Délégation au Numérique en Santé

14, Avenue Duquesne, 75007 PARIS

Mob : 06 64 15 62 03 

christophe.mattler@sante.gouv.fr

 

Délégation au numérique en santé

 

 

 

 

 

 

Bonjour Thomas,

 

Merci beaucoup pour la consolidation, nous regardons tout cela de près et vous faisons un retour ASAP.

 

Bonne journée,

Christophe

 

 

Christophe Mattler
Directeur de projets

Délégation au Numérique en Santé

14, Avenue Duquesne, 75007 PARIS

Mob : 06 64 15 62 03 

christophe.mattler@sante.gouv.fr

 

Délégation au numérique en santé

 

 

 

 

 

[Externe] [Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr.

Bonjour à tous,

 

Comme évoqué lors de nos échanges, le Club RSSI s’est à nouveau réuni pour évoquer le D2 CaRE, et traiter des réponses que vous avez apportées sur nos premières interrogations (merci pour votre retour !).

A l’issue, nous vous proposons donc ce nouveau retour, avec de nouvelles remarques/questions,

 

Nous restons à disposition si besoin,

 

Et sommes bien évidemment preneurs de votre éclairage sur ces nouveaux points,

 

Nos remarques/questions :

 

*-*-*-*-*-*-*-*-*

 

D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ?
Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ?

 

Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ?

 

D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ?

 

D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ?

 

D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ?

 

D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario.

 

D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ?

Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque.

 

D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ?

 

D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS.

 

Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.

 

Financement : Est-ce qu’il est possible de valoriser les frais engagés :

• sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C)
• sur l’achat de pare-feu interne ? (au titre du D2.03.B)
• sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B)

 

 

*-*-*-*-*-*-*-*-*

 

 

Bien cordialement.

 

Pour le Club RSSI Santé

 

 

Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr

 

 

 

 

 

Bonjour Thomas,

 

J’espère que tu vas bien !

 

En premier lieu, merci à tous les membres du club qui ont fait ces remontés, et un double merci aux membres du bureau qui les ont consolidées !

Nous avons essayé de répondre le plus précisément possible aux questions, que nous allons pour la plupart intégrer à la FAQ à cette occasion. N’hésite pas à nous dire si certains points restent flous ou posent problème.

 

 

Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS

Comme indiqué en annexe 2 de l'arrêté, ne sont éligibles à l'AAF Domaine 2 que les établissements possédant un identifiant FINESS juridique dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205. Les EJ médicaux-sociaux ne sont pas concernés.

En revanche, ces EJ seront éligibles au futur AAP CaRE dédié au secteur médico-social. Le calcul actuel de l’AC n’est d’ailleurs pas applicable pour les EJ MS.

Action à mener : ajout FAQ

 

Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?

    Dans le cadre du Domaine 1, l'atteinte de chaque objectif est conditionnée à l'atteinte par chaque EJ du GHT (à l'exception de l'objectif D1.O1.B pour lequel une souplesse est exprimée en part d'activité combinée).

    Il en sera de même pour le Domaine 2 avec des souplesses, en part d'activité combinée, pour les objectifs D2.O1.C et D2.O1.D.

    Action à mener : sans objet (détail du périmètre de chaque objectif déjà dans le guide)

 

 

 D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ?

De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?

    L'attendu minimal porte sur la formalisation :

·                    du PCA cadre (au sens du kit)

·                    du PCA de chaque activité critique ayant fait l'objet d'une BIA

    Le tout peut constituer un document unique ou des documents disjoints complémentaires, le format n'étant pas imposé.

    Action à mener : ajout guide + ajout FAQ

 

D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ?

L'ensemble des actions menées durant la phase opérationnelle concourants à l'élaboration du PCRA seront valorisables dans le cadre de l'AAF, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs, celui-ci permettant de mesurer l’atteinte de la cible, mais ne constituant pas une limite.

Action à mener : ajout FAQ

 

D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?

    Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).

    Toutefois, seuls le traitement du scénario d'indispo des SI et d'un second scénario au choix sont obligatoires.

    Action à mener : ajout guide + ajout FAQ

 

                     

 D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.

     Il est recommandé de tester le PCA sur les différents scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).

    Toutefois, seul le test d'un scénario, à choisir par le candidat, est obligatoire.

    Action à mener : ajout guide + ajout FAQ 

 

 

D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?

    Un exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique). Définition fournie dans le kit PCRA (document 03_Kit PCA_PRA_Gestion du PCRA).

    Action à mener : ajout guide + ajout FAQ 

 

 

D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ?

Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».

    Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'AAF Domaine 2.

    En particulier, les deux exemples mentionnés sont bien valorisables pour ce qui concerne les dépenses réalisées pendant la phase opérationnelle.

    Action à mener : ajout guide + ajout FAQ 

 

D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?

    Au moins un des tests menés doit concerner un environnement de production. Celui-ci doit concerner un système dont la criticité pour l’activité de l’établissement est établie.

    Action à mener : ajout guide + ajout FAQ

 

 

Bonne fin de journée,

Christophe

 

 

 

 

 

 

[Externe] [Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr.

Bonjour à tous,

 

Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.

 

Nous souhaitions vous faire un premier retour rapide afin d’aider potentiellement à l’alimentation du Webinaire prévu demain,

 

Nous restons à disposition si nécessaire pour compléter les points ci-dessous,

 

Bien cordialement.

 

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

 

Points remontés par les membres du Club :

 

 

Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS

 

Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?

 

D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ?

De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?

 

D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ?

 

D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?

 

D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.

 

D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?

 

D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ?

Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».

 

D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?

 

 

 

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

 

 

Pour le Club RSSI Santé

 

Thomas AUBIN

Responsable de la Sécurité du Système d’Information

Cellule Conformité Numérique

Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille

06.24.53.72.98 / thomas.aubin@chu-lille.fr