Bonjour à tous,

Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.

Nous souhaitions vous faire un premier retour rapide afin d’aider potentiellement à l’alimentation du Webinaire prévu demain,

Nous restons à disposition si nécessaire pour compléter les points ci-dessous,

Bien cordialement.

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

Points remontés par les membres du Club :

Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS

Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?

D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ?

De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?

D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ?

D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?

D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.

D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?

D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ?

Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».

D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?

-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-

Pour le Club RSSI Santé

Thomas AUBIN

Responsable de la Sécurité du Système d’Information

Cellule Conformité Numérique

Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille

06.24.53.72.98 / thomas.aubin@chu-lille.fr