Bonjour à tous, Comme évoqué lors de nos échanges, le Club RSSI s’est à nouveau réuni pour évoquer le D2 CaRE, et traiter des réponses que vous avez apportées sur nos premières interrogations (merci pour votre retour !). A l’issue, nous vous proposons donc ce nouveau retour, avec de nouvelles remarques/questions, Nous restons à disposition si besoin, Et sommes bien évidemment preneurs de votre éclairage sur ces nouveaux points, Nos remarques/questions : *-*-*-*-*-*-*-*-* D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ? Le travail risque d’être très important dans ce scénario. D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement. Financement : Est-ce qu’il est possible de valoriser les frais engagés : * sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) * sur l’achat de pare-feu interne ? (au titre du D2.03.B) * sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) *-*-*-*-*-*-*-*-* Bien cordialement. Pour le Club RSSI Santé [cid:image005.png@01DC23D4.DE458850] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image004.png@01DC23D3.F806A950] <https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght> De : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr> Envoyé : vendredi 8 août 2025 15:34 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr> Cc : bureau@listes.rssi-sante.fr; Richard.DE-LAMAZIERE@esante.gouv.fr; Steven GARNIER <Steven.GARNIER@esante.gouv.fr> Objet : RE: [Club RSSI Santé] Premiers retours sur la publication D2 CaRE Bonjour Thomas, J’espère que tu vas bien ! En premier lieu, merci à tous les membres du club qui ont fait ces remontés, et un double merci aux membres du bureau qui les ont consolidées ! Nous avons essayé de répondre le plus précisément possible aux questions, que nous allons pour la plupart intégrer à la FAQ à cette occasion. N’hésite pas à nous dire si certains points restent flous ou posent problème. Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS Comme indiqué en annexe 2 de l'arrêté, ne sont éligibles à l'AAF Domaine 2 que les établissements possédant un identifiant FINESS juridique dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205. Les EJ médicaux-sociaux ne sont pas concernés. En revanche, ces EJ seront éligibles au futur AAP CaRE dédié au secteur médico-social. Le calcul actuel de l’AC n’est d’ailleurs pas applicable pour les EJ MS. Action à mener : ajout FAQ Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?     Dans le cadre du Domaine 1, l'atteinte de chaque objectif est conditionnée à l'atteinte par chaque EJ du GHT (à l'exception de l'objectif D1.O1.B pour lequel une souplesse est exprimée en part d'activité combinée).     Il en sera de même pour le Domaine 2 avec des souplesses, en part d'activité combinée, pour les objectifs D2.O1.C et D2.O1.D.     Action à mener : sans objet (détail du périmètre de chaque objectif déjà dans le guide) D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ? De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?     L'attendu minimal porte sur la formalisation : • du PCA cadre (au sens du kit) • du PCA de chaque activité critique ayant fait l'objet d'une BIA     Le tout peut constituer un document unique ou des documents disjoints complémentaires, le format n'étant pas imposé.     Action à mener : ajout guide + ajout FAQ D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ? L'ensemble des actions menées durant la phase opérationnelle concourants à l'élaboration du PCRA seront valorisables dans le cadre de l'AAF, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs, celui-ci permettant de mesurer l’atteinte de la cible, mais ne constituant pas une limite. Action à mener : ajout FAQ D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?     Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).     Toutefois, seuls le traitement du scénario d'indispo des SI et d'un second scénario au choix sont obligatoires.     Action à mener : ajout guide + ajout FAQ D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.     Il est recommandé de tester le PCA sur les différents scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).     Toutefois, seul le test d'un scénario, à choisir par le candidat, est obligatoire.     Action à mener : ajout guide + ajout FAQ D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?     Un exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique). Définition fournie dans le kit PCRA (document 03_Kit PCA_PRA_Gestion du PCRA).     Action à mener : ajout guide + ajout FAQ D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ? Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».     Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'AAF Domaine 2.     En particulier, les deux exemples mentionnés sont bien valorisables pour ce qui concerne les dépenses réalisées pendant la phase opérationnelle.     Action à mener : ajout guide + ajout FAQ D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?     Au moins un des tests menés doit concerner un environnement de production. Celui-ci doit concerner un système dont la criticité pour l’activité de l’établissement est établie.     Action à mener : ajout guide + ajout FAQ Bonne fin de journée, Christophe Christophe Mattler [cid:image001.png@01DC23D3.F806A950] <http://www.linkedin.com/in/christophe-mattler> Directeur de projets Délégation au Numérique en Santé [cid:image002.png@01DC23D3.F806A950]<https://www.linkedin.com/showcase/d%C3%A9l%C3%A9gation-au-num%C3%A9rique-en-...> 14, Avenue Duquesne, 75007 PARIS Mob : 06 64 15 62 03 christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr> [cid:image003.png@01DC23D3.F806A950] De : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Envoyé : lundi 21 juillet 2025 10:15 À : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr>>; Richard.DE-LAMAZIERE@esante.gouv.fr<mailto:Richard.DE-LAMAZIERE@esante.gouv.fr>; Steven GARNIER <Steven.GARNIER@esante.gouv.fr<mailto:Steven.GARNIER@esante.gouv.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : [Club RSSI Santé] Premiers retours sur la publication D2 CaRE Bonjour à tous, Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.  ZjQcmQRYFpfptBannerStart [Externe] [Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr. ZjQcmQRYFpfptBannerEnd Bonjour à tous, Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs. Nous souhaitions vous faire un premier retour rapide afin d’aider potentiellement à l’alimentation du Webinaire prévu demain, Nous restons à disposition si nécessaire pour compléter les points ci-dessous, Bien cordialement. -/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/- Points remontés par les membres du Club : Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ? D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ? De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ? D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ? D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ? D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité. D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ? D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ? Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ». D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ? -/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/- Pour le Club RSSI Santé Thomas AUBIN Responsable de la Sécurité du Système d’Information Cellule Conformité Numérique Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chu-lille.fr> [cid:image004.png@01DC23D3.F806A950]<https://urldefense.com/v3/__https:/bluefiles.com/santnumeriquehdf/ghtlmfi-rs...>

Bonjour Thomas, Je te prie de trouver ci-dessous nos réponses à vos interrogations, nous restons évidemment à disposition si besoin d’éclaircissements ! D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. Bonne soirée, Christophe Christophe Mattler [cid:image001.png@01DC3880.D693EBE0] <http://www.linkedin.com/in/christophe-mattler> Directeur de projets Délégation au Numérique en Santé [cid:image002.png@01DC3880.D693EBE0]<https://www.linkedin.com/showcase/d%C3%A9l%C3%A9gation-au-num%C3%A9rique-en-...> 14, Avenue Duquesne, 75007 PARIS Mob : 06 64 15 62 03 christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr> [cid:image003.png@01DC3880.D693EBE0] Délégation au numérique en santé De : MATTLER, Christophe (DNS) Envoyé : vendredi 12 septembre 2025 12:09 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; Steven GARNIER <Steven.GARNIER@esante.gouv.fr>; Richard.DE-LAMAZIERE@esante.gouv.fr Cc : bureau@listes.rssi-sante.fr Objet : RE: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Thomas, Merci beaucoup pour la consolidation, nous regardons tout cela de près et vous faisons un retour ASAP. Bonne journée, Christophe Christophe Mattler [cid:image001.png@01DC3880.D693EBE0] <http://www.linkedin.com/in/christophe-mattler> Directeur de projets Délégation au Numérique en Santé [cid:image002.png@01DC3880.D693EBE0]<https://www.linkedin.com/showcase/d%C3%A9l%C3%A9gation-au-num%C3%A9rique-en-...> 14, Avenue Duquesne, 75007 PARIS Mob : 06 64 15 62 03 christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr> [cid:image003.png@01DC3880.D693EBE0] Délégation au numérique en santé De : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Envoyé : vendredi 12 septembre 2025 11:04 À : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr>>; Steven GARNIER <Steven.GARNIER@esante.gouv.fr<mailto:Steven.GARNIER@esante.gouv.fr>>; Richard.DE-LAMAZIERE@esante.gouv.fr<mailto:Richard.DE-LAMAZIERE@esante.gouv.fr> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Comme évoqué lors de nos échanges, le Club RSSI s’est à nouveau réuni pour évoquer le D2 CaRE, et traiter des réponses que vous avez apportées sur nos premières interrogations (merci pour votre retour !). A l’issue, nous vous ZjQcmQRYFpfptBannerStart [Externe] [Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr. ZjQcmQRYFpfptBannerEnd Bonjour à tous, Comme évoqué lors de nos échanges, le Club RSSI s’est à nouveau réuni pour évoquer le D2 CaRE, et traiter des réponses que vous avez apportées sur nos premières interrogations (merci pour votre retour !). A l’issue, nous vous proposons donc ce nouveau retour, avec de nouvelles remarques/questions, Nous restons à disposition si besoin, Et sommes bien évidemment preneurs de votre éclairage sur ces nouveaux points, Nos remarques/questions : *-*-*-*-*-*-*-*-* D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ? Le travail risque d’être très important dans ce scénario. D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement. Financement : Est-ce qu’il est possible de valoriser les frais engagés : * sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) * sur l’achat de pare-feu interne ? (au titre du D2.03.B) * sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) *-*-*-*-*-*-*-*-* Bien cordialement. Pour le Club RSSI Santé [cid:image004.png@01DC3880.D693EBE0] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image005.png@01DC3880.D693EBE0] <https://urldefense.com/v3/__https:/bluefiles.com/santnumeriquehdf/ghtlmfi-rs...> De : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr>> Envoyé : vendredi 8 août 2025 15:34 À : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; Richard.DE-LAMAZIERE@esante.gouv.fr<mailto:Richard.DE-LAMAZIERE@esante.gouv.fr>; Steven GARNIER <Steven.GARNIER@esante.gouv.fr<mailto:Steven.GARNIER@esante.gouv.fr>> Objet : RE: [Club RSSI Santé] Premiers retours sur la publication D2 CaRE Bonjour Thomas, J’espère que tu vas bien ! En premier lieu, merci à tous les membres du club qui ont fait ces remontés, et un double merci aux membres du bureau qui les ont consolidées ! Nous avons essayé de répondre le plus précisément possible aux questions, que nous allons pour la plupart intégrer à la FAQ à cette occasion. N’hésite pas à nous dire si certains points restent flous ou posent problème. Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS Comme indiqué en annexe 2 de l'arrêté, ne sont éligibles à l'AAF Domaine 2 que les établissements possédant un identifiant FINESS juridique dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205. Les EJ médicaux-sociaux ne sont pas concernés. En revanche, ces EJ seront éligibles au futur AAP CaRE dédié au secteur médico-social. Le calcul actuel de l’AC n’est d’ailleurs pas applicable pour les EJ MS. Action à mener : ajout FAQ Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ?     Dans le cadre du Domaine 1, l'atteinte de chaque objectif est conditionnée à l'atteinte par chaque EJ du GHT (à l'exception de l'objectif D1.O1.B pour lequel une souplesse est exprimée en part d'activité combinée).     Il en sera de même pour le Domaine 2 avec des souplesses, en part d'activité combinée, pour les objectifs D2.O1.C et D2.O1.D.     Action à mener : sans objet (détail du périmètre de chaque objectif déjà dans le guide) D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ? De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ?     L'attendu minimal porte sur la formalisation : • du PCA cadre (au sens du kit) • du PCA de chaque activité critique ayant fait l'objet d'une BIA     Le tout peut constituer un document unique ou des documents disjoints complémentaires, le format n'étant pas imposé.     Action à mener : ajout guide + ajout FAQ D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ? L'ensemble des actions menées durant la phase opérationnelle concourants à l'élaboration du PCRA seront valorisables dans le cadre de l'AAF, y compris si le périmètre dépasse le périmètre minimal défini dans les objectifs, celui-ci permettant de mesurer l’atteinte de la cible, mais ne constituant pas une limite. Action à mener : ajout FAQ D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ?     Il est fortement recommandé de traiter les 4 scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).     Toutefois, seuls le traitement du scénario d'indispo des SI et d'un second scénario au choix sont obligatoires.     Action à mener : ajout guide + ajout FAQ D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité.     Il est recommandé de tester le PCA sur les différents scénarios d'indisponibilités listés dans le kit (indispo des compétences / personnels, indispo des SI, indispo des infra bâtimentaires, indispo des fournisseurs critiques).     Toutefois, seul le test d'un scénario, à choisir par le candidat, est obligatoire.     Action à mener : ajout guide + ajout FAQ D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ?     Un exercice terrain simule en temps réel l’indisponibilité d’une ou plusieurs ressources critiques et teste la mise en œuvre des solutions de continuité d’activité à l’échelle des services de soins (niveau opérationnel). Il est également possible d’y éprouver la coordination et la conduite (niveau tactique) ainsi que le pilotage (niveau stratégique). Définition fournie dans le kit PCRA (document 03_Kit PCA_PRA_Gestion du PCRA).     Action à mener : ajout guide + ajout FAQ D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ? Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ».     Les investissements opérationnels réalisés pour définir cette démarche ou la mettre en œuvre sont bien valorisables au titre de l'AAF Domaine 2.     En particulier, les deux exemples mentionnés sont bien valorisables pour ce qui concerne les dépenses réalisées pendant la phase opérationnelle.     Action à mener : ajout guide + ajout FAQ D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ?     Au moins un des tests menés doit concerner un environnement de production. Celui-ci doit concerner un système dont la criticité pour l’activité de l’établissement est établie.     Action à mener : ajout guide + ajout FAQ Bonne fin de journée, Christophe Christophe Mattler [cid:image001.png@01DC3880.D693EBE0] <https://urldefense.com/v3/__http:/www.linkedin.com/in/christophe-mattler__;!...> Directeur de projets Délégation au Numérique en Santé [cid:image002.png@01DC3880.D693EBE0]<https://urldefense.com/v3/__https:/www.linkedin.com/showcase/d**Al**Agation-...> 14, Avenue Duquesne, 75007 PARIS Mob : 06 64 15 62 03 christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr> [cid:image006.png@01DC3880.D693EBE0] De : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Envoyé : lundi 21 juillet 2025 10:15 À : MATTLER, Christophe (DNS) <christophe.mattler@sante.gouv.fr<mailto:christophe.mattler@sante.gouv.fr>>; Richard.DE-LAMAZIERE@esante.gouv.fr<mailto:Richard.DE-LAMAZIERE@esante.gouv.fr>; Steven GARNIER <Steven.GARNIER@esante.gouv.fr<mailto:Steven.GARNIER@esante.gouv.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> Objet : [Club RSSI Santé] Premiers retours sur la publication D2 CaRE Bonjour à tous, Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs.  ZjQcmQRYFpfptBannerStart [Externe] [Attention] : Ce courriel provient de l'extérieur des ministères sociaux. Ne cliquez pas sur les liens et n'ouvrez pas les pièces jointes à moins de connaître l'expéditeur et de vous assurer que le contenu est sûr. ZjQcmQRYFpfptBannerEnd Bonjour à tous, Comme convenu ensemble, le Club RSSI Santé vous propose un premier retour consolidé des interrogations du terrain suite à la publication de l’arrêté du Domaine 2 de Care, et la fourniture du guide des prérequis et objectifs. Nous souhaitions vous faire un premier retour rapide afin d’aider potentiellement à l’alimentation du Webinaire prévu demain, Nous restons à disposition si nécessaire pour compléter les points ci-dessous, Bien cordialement. -/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/- Points remontés par les membres du Club : Candidature : Est-ce que les EJ médico-sociaux membres d’un GHT sont intégrés dans le D2 de CaRE ? Si oui, il manque l’AC de ces établissements pour le calcul des subventions dans le tableau fourni par l'ANS Financement : Sur le domaine 1, il était possible d'avoir une partie de financement si certains établissements d'un GHT n'avaient pas pu atteindre certains objectifs. Est-ce que le domaine 2 permet également de bénéficier d'une partie des subventions même si un (ou plusieurs) établissements n'ont pas atteint les objectifs ? D2.O1.C : Au vu des définitions du glossaire, le PCRA semble être un corpus documentaire. Le terme de l'objectif « un Plan de Continuité et de Reprise d’Activité (PCRA) en s’appuyant sur la réalisation de bilans d’impacts sur l’activité, a minima sur les périmètres suivants » laisse à penser que le PCRA est un document unique. Est-ce que, sur cet objectif, il est question du PCRA cadre, ou est-il attendu un PCRA intégrant les BIA à minima ? Est-il possible de préciser ? De plus, dans les éléments de preuve, il est indiqué : « Plans de Continuité d’Activité / Plans de Reprise d’Activité sur les activités critiques identifiées pour chaque candidat », ce qui semble indiquer qu’il est attendu, pour l’objectif, que le PCRA soit finalisé pour toutes les activités critiques. Qu’est-il attendu précisément ? Est-ce le PCRA cadre des entités ? D2.O1.C : Si, durant la phase opérationnelle, nous effectuons des BIA de plusieurs services (critiques et non critiques) et sur tous les établissements, est-ce que cela sera valorisable en coût interne dans le cadre du D2 ? D2.O1.C : Dans le cas où on s'appuie sur les modèles de BIA de l'ANS, est-ce que l'objectif est validé si les BIA demandés en élément de preuve ne traitent que du scénario "Perte du SI" ou il est attendu que chaque BIA traite obligatoirement les quatre scénarios ? A contrario, si on ne traite que le scénario "manque de RH" pour les BIA, est-ce que cela valide l'objectif ? D2.O1.D : Est-ce que le périmètre du test PCA ne porte bien que sur le scénario "Perte du SI" ? Si oui, est-il possible de le préciser ? Le but étant de donner une envergure "numérique" à ce domaine, le PCA étant un sujet qualité. D2.O1.D : Est-il possible de préciser l’attendu par « la réalisation d’un exercice terrain » ? S’agit-il d’une mise en situation réelle avec activation des modes dégradés ? Est-il possible d’avoir quelques exemples ? D2.O3.B et D2.O3.C : Les deux objectifs commencent par « Le candidat doit s’inscrire dans une démarche… ». Est-il entendu par-là que tous les investissements opérationnels pour faire avancer cette démarche ne sont pas valorisables ? Exemple : l’achat d’un équipement pour « le cloisonnement de son infrastructure de sauvegarde » ou l’achat d’un robot cassette pour avoir « une copie hors ligne ». D2.O4 : Dans le périmètre des tests, est-il exigé que cela soit des serveurs de production ou cela peut-il être des serveurs de qualification, de test ou de formation ? -/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/-/- Pour le Club RSSI Santé Thomas AUBIN Responsable de la Sécurité du Système d’Information Cellule Conformité Numérique Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chu-lille.fr> [cid:image005.png@01DC3880.D693EBE0]<https://urldefense.com/v3/__https:/bluefiles.com/santnumeriquehdf/ghtlmfi-rs...>

Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image004.png@01DC3880.D693EBE0] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image005.png@01DC3880.D693EBE0] <https://bluefiles.com/santnumeriquehdf/ghtlmfi-rssi-ght>

Bonjour Michel, Point 1 : La candidature est portée par l’établissement support pour le compte du GHT. De ce fait, si un établissement (non support) ne souhaite pas atteindre les objectifs, elle n’a pas la capacité de bloquer la candidature du GHT. Après, si un établissement ne souhaite pas atteindre les objectifs, est-ce que cela empeche de toucher la subvention ? Il faut poser la question à la DNS. Point 2 : Cette question a été répondu, tu retrouves les éléments dans le chapitre 2 de l’arrête : [cid:image006.png@01DC3A13.00846AE0] Les EHPAD ayant une catégorie de FINESS Juridique à 4401 (https://www.pays-de-la-loire.ars.sante.fr/media/1523/download), ils ne sont pas éligibles. De manière générale, aucun établissement médico-social (même membre d’un GHT) n’est éligible. Cordialement, [GHT85 - GHT85] [cid:image002.png@01DC39CD.6787BC60] Adrien BOURDON Responsable Sécurité des Systèmes d’Information du GHT Délégué à la Protection des Données du GHT Cellule Territoriale de Conformité Numérique Direction Générale GHT 85 – Hôpitaux de Vendée Tél. : 02 51 44 64 43 – Poste 26443 Por. : 06 14 83 65 64 De : MICHEL FABREJON par Bureau <bureau@listes.rssi-sante.fr> Envoyé : vendredi 10 octobre 2025 08:31 À : bureau@listes.rssi-sante.fr Cc : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; MICHEL FABREJON <michel.fabrejon@ght-lot.fr> Objet : [Bureau] Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Thomas, 1. point 1 : Notre ARS Occitanie nous précise que SI un et au moins un établissement d'un GHT NE candidate PAS sur CaRE D2 ALORS la candidature du GHT pour l'ensemble des établissements que compose le GHT ne sera pas retenue.     point 2 : D'autre part, si un EHPAD fait parti d'un GHT, doit-il obligatoirement candidater, suite à la remarque précédente ? Il me semble avoir lu que ce dispositif CaRE D2 pour les EHPAD serait à partir de 2026... Si tu peux apporter des précisions sur cette affirmation de l'ARS Occitanie (point 1) et nous éclairer sur le point 2, je t'en remercie par avance. Bien à toi, Michel FABREJON RSSI/DPO GHT Lot DIRECTION INFORMATIQUE DU CENTRE HOSPITALIER DE CAHORS - ETABLISSEMENT SUPPORT DU GHT LOT Ligne directe : 05 65 20 54 91 Mail : michel.fabrejon@ght-lot.fr<mailto:michel.fabrejon@ght-lot.fr> [cid:image003.png@01DC39CD.6787BC60] ________________________________ De: AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé: Jeudi 09 octobre 2025 17:02 À: Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc: bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr> <bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet: [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : • Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu • Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : • sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) • sur l’achat de pare-feu interne ? (au titre du D2.03.B) • sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image004.png@01DC39CD.6787BC60] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image005.png@01DC39CD.6787BC60] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://bluefiles.com&key...>

Merci pour le travail. Ca me fait percuter qu’il va falloir faire un inventaire de toutes les solutions cloud qu’on ne connait pas … Cordialement. Romain Zerr Responsable de la Sécurité des Systèmes d’Information Direction GENeRALE 3 bd Alexandre Fleming, 25030 Besançon Cedex Fixe : 03 81 21 86 51 (18 651) GSM : 06 66 03 84 13 [cid:image002.png@01DC39C9.B6E54240]<https://bluefiles.com/chubesancon/r1zerr> [cid:image003.png@01DC39C9.B6E54240]<https://www.chu-besancon.fr/> [cid:image006.png@01DC39C9.B6E54240]<https://www.facebook.com/CHUdeBesancon/> [cid:image007.png@01DC39C9.B6E54240] <https://www.instagram.com/chudebesancon/> [cid:image008.png@01DC39C9.B6E54240] <https://twitter.com/CHUdeBesancon> [cid:image009.png@01DC39C9.B6E54240] <https://fr.linkedin.com/company/chudebesancon/> [cid:image010.png@01DC39C9.B6E54240] <https://www.youtube.com/chudebesancon> De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr> Envoyé : jeudi 9 octobre 2025 17:03 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr> Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr> Objet : [CHUB-SPAM] [CHUB-SPAM] [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image011.png@01DC39C9.B6E54240] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image012.png@01DC39C9.B6E54240] <https://mail.chu-besancon.fr/fmlurlsvc/?fewReq=:B:JVA0Pzs8NCh4MzwgPihnajM+Pz...>

Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), si celle-ci est bien documenté ils auraient tort de se priver de remplir le prérequis avec ces éléments (plutôt que produire un nouveau document qui leur sera d’aucune utilité). ( ma lecture…). Cordialement, Franz De : Romain ZERR par Membres <membres@listes.rssi-sante.fr> Envoyé : mardi 14 octobre 2025 08:44 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr> Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; Romain ZERR <r1zerr@chu-besancon.fr> Objet : [Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Mesdames, Messieurs, Je suis pris d’un gros doute. Le prérequis 2 sur l’organisation projet. J’avais dans l’idée qu’il s’agissait de l’organisation projet de l’atteinte des objectifs du D2, mais on pourrait l’interpréter également comme l’organisation « finale » de la gestion de la continuité au sein des établissements. Du coup, je ne sais plus trop ce qui est attendu. Je vois passer des documents de ceux qui ont déjà une démarche bien en place, ce qui me fait pencher pour la bonne solution, mais comme c’est un peu aussi l’objectif pour ceux qui sont pas PCA compliant, je ne sais plus à quel saint me vouer. Cordialement Romain Zerr Responsable de la Sécurité des Systèmes d’Information Direction GENeRALE 3 bd Alexandre Fleming, 25030 Besançon Cedex Fixe : 03 81 21 86 51 (18 651) GSM : 06 66 03 84 13 [cid:image005.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image013.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image014.png@01DC3CE9.74332E30]<https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image015.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image016.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image017.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> [cid:image018.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...> De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : jeudi 9 octobre 2025 17:03 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [CHUB-SPAM] [CHUB-SPAM] [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image019.png@01DC3CE9.74332E30] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image020.png@01DC3CE9.74332E30] <https://antiphishing.vadesecure.com/v4?f=STUzUm03ckU2YTJtTTVua0LU6vnAZZ_azYA...>

Hello, pour moi : - pré requis = fiche projet détaillée - atteinte objectifs (en 2026) = RUN de ce projet Cédric Cartau RSSI & DPO CHU de NANTES, RSSI du GHT44 Enseignant au CNAM, au CNEH, à l'EHESP, à l'ESIEA et à POLYTECH NANTES Vice-Président du Club RSSI Santé Vice-Président APSSIS Co-fondateur du Club ISO27001 Pays de Loire Co-fondateur du Club RSSI NANTAIS Membre de l'AFCDP, de l'ARCSI, du CESIN, du Club ISO27001 Coordonnées https://what3words.com : <https://w3w.co/voil%C3%A0.%C3%A9tirant.d%C3%A9tour> https://what3words.com/voil%C3%A0.%C3%A9tirant.d%C3%A9tour Adresse postale : Hôpital St Jacques - Pôle Investissements, Logistique et Nouvel Hôpital Bâtiment Le Prieuré Saint Jacques de Pirmil - 85, rue St Jacques - 44093 NANTES Cedex 1 +33 2 40 84 60 08 (n° court 5741) / +33 6 19 38 33 51 cedric.cartau@chu-nantes.fr / rssi@chu-nantes.fr / dpo@chu-nantes.fr http://fr.linkedin.com/pub/cédric-cartau/30/651/1a6 ________________________________ De : TREMELO Frédéric par Bureau <bureau@listes.rssi-sante.fr> Envoyé : mardi 14 octobre 2025 09:27:27 À : Mailing liste des membres du Club RSSI Santé Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas; Romain ZERR; Franz STUDER; TREMELO Frédéric Objet : [EXTERNE] [Bureau] Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour, Pour moi c’est fromage et dessert. A la fois le cadrage projet lié aux objectifs CareD2, mais aussi un « rappel » du mode RUN attendu par l’HAS. Bonne journée Frédéric TREMELO RSSI adjoint Sécurité - Qualité Direction des Services Numériques Bonjour, Pour moi c’est fromage et dessert. A la fois le cadrage projet lié aux objectifs CareD2, mais aussi un « rappel » du mode RUN attendu par l’HAS. Bonne journée [cid:image001.png@01DC3CEC.1F3752A0] Frédéric TREMELO RSSI adjoint Sécurité - Qualité Direction des Services Numériques [cid:image002.jpg@01DC3CEC.1F3752A0] frederic.tremelo@ap-hm.fr<mailto:frederic.tremelon@ap-hm.fr> [cid:image003.png@01DC3CEC.1F3752A0]Depot BlueFiles<https://urldefense.com/v3/__https://bluefiles.com/aphm/ftrdepot__;!!E0Ahi1ck...> [cid:image006.jpg@01DC3CEC.1F3752A0] 06 16 78 73 05 13005 Marseille De : Franz STUDER par Membres <membres@listes.rssi-sante.fr> Envoyé : mardi 14 octobre 2025 09:04 À : 'Mailing liste des membres du Club RSSI Santé' <membres@listes.rssi-sante.fr> Cc : bureau@listes.rssi-sante.fr; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; Romain ZERR <r1zerr@chu-besancon.fr>; Franz STUDER <franz.studer@ch-carcassonne.fr> Objet : [SPF-softfail]-[Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), si celle-ci est bien documenté ils auraient tort de se priver de remplir le prérequis avec ces éléments (plutôt que produire un nouveau document qui leur sera d’aucune utilité). ( ma lecture…). Cordialement, Franz De : Romain ZERR par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : mardi 14 octobre 2025 08:44 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>>; Romain ZERR <r1zerr@chu-besancon.fr<mailto:r1zerr@chu-besancon.fr>> Objet : [Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Mesdames, Messieurs, Je suis pris d’un gros doute. Le prérequis 2 sur l’organisation projet. J’avais dans l’idée qu’il s’agissait de l’organisation projet de l’atteinte des objectifs du D2, mais on pourrait l’interpréter également comme l’organisation « finale » de la gestion de la continuité au sein des établissements. Du coup, je ne sais plus trop ce qui est attendu. Je vois passer des documents de ceux qui ont déjà une démarche bien en place, ce qui me fait pencher pour la bonne solution, mais comme c’est un peu aussi l’objectif pour ceux qui sont pas PCA compliant, je ne sais plus à quel saint me vouer. Cordialement Romain Zerr Responsable de la Sécurité des Systèmes d’Information Direction GENeRALE 3 bd Alexandre Fleming, 25030 Besançon Cedex Fixe : 03 81 21 86 51 (18 651) GSM : 06 66 03 84 13 [cid:image008.png@01DC3CEC.1F3752A0]<https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image009.png@01DC3CEC.1F3752A0]<https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image010.png@01DC3CEC.1F3752A0]<https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image011.png@01DC3CEC.1F3752A0] <https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image012.png@01DC3CEC.1F3752A0] <https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image013.png@01DC3CEC.1F3752A0] <https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> [cid:image014.png@01DC3CEC.1F3752A0] <https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...> De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : jeudi 9 octobre 2025 17:03 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [CHUB-SPAM] [CHUB-SPAM] [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image015.png@01DC3CEC.1F3752A0] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image016.png@01DC3CEC.1F3752A0] <https://urldefense.com/v3/__https:/antiphishing.vadesecure.com/v4?f=STUzUm03...>

Bonjour, Pour moi, il parle bien de « décrire le schéma d’organisation PROJET mise en place… », ce n’est donc pas l’organisation du RUN mais bien comment les ES ont bâti leur organisation projet pour l’atteindre… Cordialement. ___________________________________________ Loïc BOUSQUET Responsable du Système d'Information et de la Sécurité du Système d'Information du Centre Hospitalier Aunay-Bayeux [cid:image001.jpg@01DC3CF5.09E26BC0] Centre Hospitalier Aunay-Bayeux 13 rue de Nesmond - 14400 BAYEUX Tél : 02.31.51.55.57 Utiliser ssi@ch-ab.fr<mailto:ssi@ch-ab.fr> pour déclarer un incident ou événement lié à la Sécurité du Système d’Information. De : BOURDON Adrien par Membres <membres@listes.rssi-sante.fr> Envoyé : mardi 14 octobre 2025 10:11 À : bureau@listes.rssi-sante.fr; Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr> Cc : AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr>; Romain ZERR <r1zerr@chu-besancon.fr>; Franz STUDER <franz.studer@ch-carcassonne.fr>; TREMELO Frédéric <frederic.tremelo@ap-hm.fr>; BOURDON Adrien <adrien.bourdon@ght85.fr> Objet : [Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour, Dans le guide de prérequis : « Le candidat doit décrire le schéma d’organisation projet mise en place pour assurer la gestion et de la continuité et de la reprise d’activité ». Pour moi c’est clair, on te demande que l’organisation PCRA de ton/tes établissements. Ca fait un lien avec la note d’information de la DNS de début d’année où les établissements aurait dû commencer à le mettre en œuvre Cordialement, [GHT85 - GHT85] [cid:image005.png@01DC3CF5.09F88BD0] Adrien BOURDON Responsable Sécurité des Systèmes d’Information du GHT Délégué à la Protection des Données du GHT Cellule Territoriale de Conformité Numérique Direction Générale GHT 85 – Hôpitaux de Vendée Tél. : 02 51 44 64 43 – Poste 26443 Por. : 06 14 83 65 64 De : TREMELO Frédéric par Bureau <bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>> Envoyé : mardi 14 octobre 2025 09:27 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>>; Romain ZERR <r1zerr@chu-besancon.fr<mailto:r1zerr@chu-besancon.fr>>; Franz STUDER <franz.studer@ch-carcassonne.fr<mailto:franz.studer@ch-carcassonne.fr>>; TREMELO Frédéric <frederic.tremelo@ap-hm.fr<mailto:frederic.tremelo@ap-hm.fr>> Objet : [Bureau] Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour, Pour moi c’est fromage et dessert. A la fois le cadrage projet lié aux objectifs CareD2, mais aussi un « rappel » du mode RUN attendu par l’HAS. Bonne journée [cid:image006.png@01DC3CF5.09E26BC0] Frédéric TREMELO RSSI adjoint Sécurité - Qualité Direction des Services Numériques [cid:image007.jpg@01DC3CF5.09E26BC0] frederic.tremelo@ap-hm.fr<mailto:frederic.tremelon@ap-hm.fr> [cid:image008.png@01DC3CF5.09E26BC0]Depot BlueFiles<https://mibc-fr-06.mailinblack.com/securelink/?url=https://bluefiles.com&key...> [cid:image009.jpg@01DC3CF5.09E26BC0] 06 16 78 73 05 13005 Marseille De : Franz STUDER par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : mardi 14 octobre 2025 09:04 À : 'Mailing liste des membres du Club RSSI Santé' <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>>; Romain ZERR <r1zerr@chu-besancon.fr<mailto:r1zerr@chu-besancon.fr>>; Franz STUDER <franz.studer@ch-carcassonne.fr<mailto:franz.studer@ch-carcassonne.fr>> Objet : [SPF-softfail]-[Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), Bonjour Romain, Pour moi il s’agit de l’organisation projet pour atteindre les objectifs PCA du domaine 2. Pour les établissements ayant déjà structurés la démarche (ce qui voudrait par exemple dire RPCA nommé, ce qui n’est pas un pré requis), si celle-ci est bien documenté ils auraient tort de se priver de remplir le prérequis avec ces éléments (plutôt que produire un nouveau document qui leur sera d’aucune utilité). ( ma lecture…). Cordialement, Franz De : Romain ZERR par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : mardi 14 octobre 2025 08:44 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>>; Romain ZERR <r1zerr@chu-besancon.fr<mailto:r1zerr@chu-besancon.fr>> Objet : [Club RSSI] - Re: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour Mesdames, Messieurs, Je suis pris d’un gros doute. Le prérequis 2 sur l’organisation projet. J’avais dans l’idée qu’il s’agissait de l’organisation projet de l’atteinte des objectifs du D2, mais on pourrait l’interpréter également comme l’organisation « finale » de la gestion de la continuité au sein des établissements. Du coup, je ne sais plus trop ce qui est attendu. Je vois passer des documents de ceux qui ont déjà une démarche bien en place, ce qui me fait pencher pour la bonne solution, mais comme c’est un peu aussi l’objectif pour ceux qui sont pas PCA compliant, je ne sais plus à quel saint me vouer. Cordialement Romain Zerr Responsable de la Sécurité des Systèmes d’Information Direction GENeRALE 3 bd Alexandre Fleming, 25030 Besançon Cedex Fixe : 03 81 21 86 51 (18 651) GSM : 06 66 03 84 13 [cid:image011.png@01DC3CF5.09E26BC0]<https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image021.png@01DC3CF5.09F88BD0]<https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image022.png@01DC3CF5.09F88BD0]<https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image023.png@01DC3CF5.09F88BD0] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image024.png@01DC3CF5.09F88BD0] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image025.png@01DC3CF5.09F88BD0] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> [cid:image026.png@01DC3CF5.09F88BD0] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...> De : AUBIN, Thomas par Membres <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Envoyé : jeudi 9 octobre 2025 17:03 À : Mailing liste des membres du Club RSSI Santé <membres@listes.rssi-sante.fr<mailto:membres@listes.rssi-sante.fr>> Cc : bureau@listes.rssi-sante.fr<mailto:bureau@listes.rssi-sante.fr>; AUBIN, Thomas <Thomas.AUBIN@chu-lille.fr<mailto:Thomas.AUBIN@chu-lille.fr>> Objet : [CHUB-SPAM] [CHUB-SPAM] [Club RSSI] - TR: [Club RSSI Santé] Retour 2 sur la publication D2 CaRE Bonjour à tous, Vous trouverez ci-dessous les réponses à l’ensemble des questions « salve 2 » transmises par le Club, suite à notre échange du 5 Septembre. Si vous avez des remarques, n’hésitez pas à revenir vers le bureau 😉. Vous souhaitant une bonne lecture, Bien cordialement. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- D2.01.D : Est-ce que le test PCA sur le SI mutualisé doit être réalisé pour chaque SI mutualisé (ex : si j’ai deux directions communes : 2 PCA à réaliser) ou un test PCA sur SI mutualisé par GHT (ex : si j’ai deux directions communes : 1 PCA à réaliser) ? Est-ce que ce test PCA sur un SI mutualisé doit être en plus du test PCA réalisé pour un ou plusieurs EJ avec 66 % de l’AC ? Dans le cas d’un SI mutualisé, un PCA unique peut être réalisé concernant la prise en compte du risque numérique, sous réserve que les modes dégradés soient bien applicables de la même façon dans tous les établissements concernés. Formulé autrement, le PCA doit prendre en compte les spécificités organisationnelles de chaque établissement utilisant le SI mutualisé, et pourra inclure ces éléments au sein d’un PCA unique. La réalisation d'un exercice de test PCA portant sur un périmètre inclus dans le SI mutualisé répond à l'exigence de réalisation d'un exercice de continuité d'activité (i.e. la réalisation d'un test minimum est attendu dans le cadre de cet objectif). Le test doit être réalisé à l’échelle d’un service : si les services d’une entité A et d’une entité B s’appuient sur un même SI mutualisé, alors le test doit être réalisé sur chacun des services des deux entités. Le scénario de test doit être identique et il est recommandé de le réaliser simultanément sur les sites concernés. Il est rappelé que le test doit avoir été réalisé sur un nombre d’établissements (juridiques pour un GHT, ou géographique pour un candidat privé) représentant au moins 66% de l'activité du candidat.   Validation direction document : Plusieurs documents nécessitent la validation de la direction pour le D2 de CaRE (PSSI, Politique de sauvegarde, gouvernance PCRA). Est-il autorisé de faire signer ces documents par un directeur fonctionnel si celui-ci a une délégation de signature ? Est-ce un élément de preuve à fournir ? Différencie-t-on validation en instances / validation de la direction ? Pour rappel, les documents justificatifs devant faire l'objet d'une validation sont les suivants : - Au titre du D2.P1 : la PSSI doit être "validée par le représentant légal du candidat, ou le cas échéant, par chaque établissement". Le document doit donc être signé formellement par une personne habilitée. - Au titre du D2.O1.A : le schéma de gouvernance du PCRA doit être "signé par la direction du candidat" et accompagné du "compte-rendu d'une instance décisionnelle" ayant validé ce schéma. Il est attendu un document signé formellement par une personne habilitée, et un compte-rendu de l'instance ayant validée le schéma. Dans le cas où une délégation de signature est mise en place par le représentant légal du candidat, alors les documents peuvent être signés par ce directeur fonctionnel. D2.P1 / D2.P2 : Pour les deux prérequis, il est indiqué cette précision : « Pour les GHT, ce document peut être fourni au niveau des Entités Juridiques ; pour les EJ, ce document peut être fourni par Entité Géographique. ». Est-ce que cela permet d’avoir des documents mixtes : par exemple un document pour une Direction Commune et un document pour un établissement seul ? Oui, il est possible de soumettre un document justificatif à la maille d'une direction commune. Dans ce cas, la pièce justificative fournie par le candidat devra préciser la liste des structures inclues dans la direction commune concernées par le document.  D2.01.C : Il est imposé de formaliser un PCRA sur trois types de périmètres. Certains services peuvent être à cheval sur deux périmètres selon l’interprétation de l’établissement. Par exemple : le bloc opératoire est-il un plateau technique ou un service de soins (car rattaché à la chirurgie) ? L’admission du patient est-elle un service de soins ou un processus administratif ? Est-ce à l’établissement de trancher sur le périmètre auquel est rattaché un service, ou à l’ANS / DNS ? Les travaux préalables de l'établissement dans la réalisation de son BIA doivent lui permettre de choisir les services critiques faisant l'objet d'un PCRA. La qualification du périmètre auquel est rattaché un processus métier est au choix de l'établissement. Les plateaux techniques communément admis dans la section d’analyse médicotechnique sont les suivantes : blocs opératoires, bloc gynéco-obstétrical, anesthésiologie, laboratoire d’analyse médicale biologique, laboratoire d’anatomo-pathologie, imagerie, médecine nucléaire, exploration fonctionnelle (cardio-vasculaire, pneumologique, d’urodynamique, autres), réadaptation et rééducation fonctionnelle polyvalente.   D2.04 : Il est demandé de faire un test de restauration sur un serveur de production. Est-il imposé que le métier recette ce test de restauration ? Le métier doit-il être challengé sur un test terrain en simultané de ce test de restauration ? Peut-on faire cette restauration dans un environnement isolé ou est-il attendu de restaurer sur l’environnement de production avec les impacts associés (ex : perte des données les plus récentes…) ? Pour rappel, la validation de l'objectif D2.04 repose sur la réalisation de tests techniques portant sur la restauration d'une VM ou d'une base de données, et ce avec au moins un test conduit sur des données de production et pour un système outillant une activité critique. Il n'est pas attendu de réaliser un effacement des données de production ou tout autre action pouvant impacter la continuité d'activité ou la conservation des données : ainsi, la restauration peut être réalisée sur un environnement isolé. Le candidat est par exemple invité à réaliser la restauration de sa base de données de production sur un environnement de qualification ou de formation. Dans le cas où les espaces de stockage disponibles ne permettent pas une restauration complète de l’environnement, une restauration partielle peut être envisagée. Le candidat est invité à la plus grande vigilance dans la préparation de ce test, et notamment dans la revue des fichiers de paramétrage ou scripts utilisés, pour garantir que la réalisation de ce test n’ait pas d’impact sur l’environnement de production du système ou les environnements de production de systèmes connexes. Il est attendu qu'un correspondant métier soit identifié pour la réalisation de tests fonctionnels, néanmoins la réalisation de ces tests n'est pas objectivée. Aussi, les tests de restauration ne doivent pas nécessairement inclure une recette métier ou être accompagnés d'un test terrain mais cela est recommandé. D2.02.A : Sur l’objectif, si le SI ou les sauvegardes sont externalisés, il est nécessaire de fournir le PAS du prestataire. Il n’y a pas de précision sur le périmètre, est-ce que cet objectif doit être mis en place pour tous les actifs de l’établissement (= toutes les applications en mode SaaS) ?  Le travail risque d’être très important dans ce scénario. Pour justifier de l’atteinte de l’objectif, le candidat doit fournir : · Un inventaire complet des applications en mode SaaS, en précisant pour chacune si un PAS a été obtenu · Deux PAS présentés à titre d’exemple Les vérificateurs pourront, le cas échéant, demander la transmission d’autres PAS cités dans l’inventaire. L’exigence s’applique bien à toutes les applications SaaS et sauvegardes externalisées relevant du SI de l’établissement, indépendamment des domaines fonctionnels considérés.   D2.03.C : Dans le cadre de la mise en œuvre du 3-2-1, il est demandé d’avoir 3 copies sur 2 supports différents dont 1 support hors ligne / hors site. Est-ce que les données du serveur de production peuvent être comptées comme une copie ? Concernant les deux supports différents, est-ce que cet exemple est correct ? J’ai un DC avec des baies de disques et un autre DC avec une autre technologie de stockage disque. Non, les données du serveur de production ne peuvent pas être considérées comme une copie. La stratégie « 3-2-1 » implique la réalisation de 3 copies de sauvegarde, sur 2 supports différents, dont 1 nécessairement hors-ligne. L’ANSSI rappelle dans son document « Sauvegarde des SI » qu’il est « essentiel de pouvoir disposer de trois copies des données sauvegardées : la sauvegarde initiale et deux copies supplémentaires. Cette redondance réduit le risque de perte de données en cas de défaillance d’un ou plusieurs supports ». Aussi, le serveur de production ne peut pas être considéré comme une copie. Concernant l’exemple de deux supports que vous mentionnez : oui, il s’agit de deux supports différents. En revanche aucun des deux n’est ‘hors ligne’ (1 du 3-2-1).  D2.03.B : NIS2 supprime la notion de SIE spécifique par un SI critique global avec des exclusions. Est-ce que cet objectif s’inscrit dans la même démarche remplaçant un système de sauvegarde par SIE par un système de sauvegarde globale à tous le SI (hors exception) ? Non. L’objectif D2.O3.B ne vise pas à instaurer un système de sauvegarde global pour l’ensemble du SI, mais à garantir la séparation et l’isolation des systèmes de sauvegarde. La logique est différente de celle de NIS2 : il ne s’agit pas de remplacer la sauvegarde par SIE par une sauvegarde unique couvrant tout le SI, mais de sécuriser les environnements de sauvegarde existants.   D2.02.A : Est-ce que la politique de sauvegarde peut comporter des exceptions ? Ex : Imagerie / PACS. Il est attendu dans le D2.O2.A que le candidat transmette une politique de sauvegarde couvrant l'ensemble de son système d'information. La politique de sauvegarde énumère les règles de sauvegarde s’appliquant à chaque type de données. Par conséquent, si un type de donnée (par exemple données d’imagerie) fait l’objet de règles spécifiques, cette politique doit en faire mention.   Financement : Doit-on respecter la répartition indiquée par établissement ? (sous réserve des justificatifs évidemment), ou est-on libre dans l’utilisation du plafond avec une répartition un peu différente qui amènerait de donner un peu plus à certains ES et moins à d’autres ? ou qui permettrait de financer des dépenses communes/partagées ? (Expertise GHT, prestation GHT, achat d’un service externe pour le GHT,etc.) et donc non fléchable vers un seul établissement.  Le montant plafond est défini à l'échelle du GHT et les subventionnements sont versées à l'établissement support conformément à la convention qui liera le candidat à l'ANS. La répartition des subventions obtenues par le candidat entre les entités juridiques le composant est de sa responsabilité. Financement : Est-ce qu’il est possible de valoriser les frais engagés : · sur le renouvellement d’un système de sauvegarde ? (au titre du D2.03.C) · sur l’achat de pare-feu interne ? (au titre du D2.03.B) · sur l’achat d’un bastion afin de gérer le SI de sauvegarde ? (au titre du D2.03.B) En lien avec votre interrogation, les coûts de renouvellement d'un système de sauvegarde ou d'achat d'un pare-feu interne sont des dépenses éligibles respectivement dans le cadre des objectifs D2.03.C et D2.03.B. Concernant l’achat d’un bastion, dans le cadre de l’objectif D2.03, il peut être considéré comme une dépense éligible uniquement s’il s’inscrit dans un projet plus large d’isolement de l’infrastructure de sauvegarde qui doit inclure le cloisonnement du réseau. Pour rappel, une synthèse sur l’éligibilité des dépenses est prévue au chapitre n°3 (page 10) du guide des objectifs et prérequis publié pour le domaine. -*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*- [cid:image027.png@01DC3CF5.09F88BD0] Thomas AUBIN Responsable de la Sécurité du Système d’Information Groupement Hospitalier de Territoire Hôpitaux Publics Grand Lille 06.24.53.72.98 / thomas.aubin@chu-lille.fr<mailto:thomas.aubin@chru-lille.fr> [cid:image019.png@01DC3CF5.09E26BC0] <https://mibc-fr-06.mailinblack.com/securelink/?url=https://urldefense.com&ke...>