Cybersécurité pour les établissements de santé

1. Qu’est-ce qu’un établissement OSE et où trouver la liste des établissements OSE ?

Un OSE est un Opérateur de Services Essentiels. Dans le cadre de la directive NIS, tous les établissements support de GHT ont été désignés OSE. La liste des OSE est classée secret défense.

Vous trouverez plus d’informations sur les OSE en consultant le lien ci-dessous : https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/faq-operateurs-de-services-essentiels-ose/

2. La planification proposée dans l’AMI est sur les 18 prochains mois, mais cela dépasse l’échéance de mai 2023 évoquée.

Mai 2023 est la 1^ère échéance sur laquelle des objectifs sont fixés : 100% des OSE et 25% des ES de la région doivent avoir réalisé un exercice. La planification va au-delà jusqu’en juin 2024 pour couvrir l’ensemble des établissements.

3. Vous parlez d'ordre et d'obligation, j'ai cru entendre OSE puis MCO avons-nous d'autre date à part mai 2023?

Mai 2023 est le 1^er jalon en terme d’objectifs : 100% des OSE et 25% des ES de la région devront avoir réalisé leur exercice de continuité d’activité. Ce jalon concerne notamment les établissements OSE et prioritaires. L’instruction nationale en cours de publication devrait préciser les autres jalons.

4. Une coupure réelle du système informatique qui nécessite de passer en mode dégradé des soins peut-elle servir de test annuel de continuité d'activité?

Cela pourrait être le cas à la condition que les directions métiers et la direction générale de l’établissement soient impliquées dans l’exercice. Il est toutefois précisé que l’exercice attendu ne nécessite pas de coupure réelle du SI.

5. Peut-on déposer un dossier unique au niveau du GHT ou doit-on faire x dossiers par établissements membres du groupement?

L’obligation de réaliser un exercice de continuité d’activité s’entend par établissement. Il est donc nécessaire de déposer un dossier par établissement membre du groupement.

6. Est-ce que l’AMI / l’obligation d’exercice de continuité d’activité concerne aussi les HAD ?

L’obligation de réaliser un exercice de continuité d’activité concerne l’ensemble des établissements de santé.

7. Si notre niveau de maturité nous positionne en niveau 3, peut-on réaliser l’exercice avec le kit de niveau 2 ou doit-on forcément utiliser le kit d’exercice de niveau 3 ?

Si vous n'avez jamais réalisé d'exercice de continuité d'activité, quel que soit votre niveau de maturité, il est conseillé de commencer par un exercice "kit débutant". D’autre part, il est tout à fait possible d’obtenir un niveau de maturité 2 ou 3 et de commencer par un niveau d’exercice inférieur.

8. Nous avons environ 130 cliniques, devons-nous faire tout cela 130 fois ?

L’obligation de réaliser un exercice de continuité d’activité s’entend bien par établissement. L’appel à manifestation d’intérêt ne concerne cependant que les établissements de la région Occitanie.

9. Peut-on d’ores et déjà télécharger les kits d’exercices ?

Les 2 premiers kits « débutant » et « intermédiaire » sont disponibles sur le site cyberveille santé. Nous n’avons pas d’information quant à la disponibilité du kit d’exercice « Confirmé ».

10. L’exercice cyber est obligatoire mais pas l’AMI, est-ce que seuls les premiers inscrits seront financés ou 100% des candidats à l’AMI ?

Une enveloppe budgétaire est prévue pour financer l’accompagnement des établissements par un prestataire pour la réalisation des exercices de continuité d’activité pour l’année 2023. L’ARS financera cet accompagnement pour tous les candidats à l’AMI.

11. Quand aurons-nous le retour de l'AMI afin de pouvoir recourir au prestataire avant mai ?

L’instruction des candidatures va être réalisée au fil de l’eau, notamment pour les établissements OSE, et au plus tard fin février pour l’ensemble des établissements.

12. Concernant la réalisation d’un exercice de crise par établissement, entendez-vous par FINESS EJ ou par FINESS ES ?

Pour les structures publiques, un établissement correspond à un FINESS juridique. Pour les structures privées, un établissement correspond à un FINESS géographique.

13. Quelles seront les conséquences pour un ES qui ne réalise son exercice qu'en septembre 2023 ?

L’échéance de mai 2023 concerne 100% des établissements OSE, et 25% de l’ensemble des établissements. La planification va donc s’étendre sur l’ensemble de l’année 2023. L’instruction en cours de publication devrait venir préciser ce calendrier.

In fine, face au risque croissant de cyberattaques et aux impacts sur la continuité des soins, l’objectif est que les établissements se préparent à la survenue d’un tel incident. Il n’y a aujourd’hui pas de sanction prévue. Il est possible que cela devienne un pré-requis pour accéder à d’autres programmes.

14. L'accompagnement financier est-il forfaitaire ou un % du coût réel ?

L'accompagnement financier sera forfaitaire et fonction du niveau d'exercice de continuité d'activité réalisé.

15. Avons-nous une idée du forfait pour les 3 niveaux d’exercice de continuité d’activité ?

Cette information n’est pas encore disponible (instruction en cours de publication). Le forfait devrait couvrir en grande partie le coût d’accompagnement à la réalisation d’un exercice par un prestataire.

16. Concernant les FINESS, quid d'un établissement privé avec une entité juridique mais différentes entités géographiques ? (sites d'autodialyse). Peut-on dans ce cas indiquer le FINESS juridique ?

Concernant les sites d’autodialyse, merci de contacter directement l’ARS par téléphone ou mail.

17. Nous faisons déjà des audits cyber dans le cadre d'Hop'en, cela correspond-il aux attentes ? Une aide pourrait être accordée ?

L’AMI propose un accompagnement financier à la réalisation des exercices de continuité d’activité. Il n’est pas prévu d’accompagnement financier à la réalisation d’audits cyber.

18. Concernant l’accompagnement à la réalisation d’un exercice de crise avec un kit, a-t-on une idée du reste à charge (€) pour l'établissement ?

Cette information n’est pas encore disponible (instruction en cours de publication). Le forfait devrait couvrir en grande partie le coût d’accompagnement à la réalisation d’un exercice par un prestataire.

19. Est-ce qu'on peut candidater à cet AMI alors qu'on est dans le parcours sécurisation France Relance ?

Il est possible pour l’établissement de candidater à cet appel à manifestation d’intérêt y compris s’il est intégré dans le parcours de sécurisation France Relance. Le financement alloué par l’ARS devra être utilisé pour l’accompagnement à la réalisation de l’exercice de continuité d’activité. L’ARS sera vigilante au fait que cet accompagnement ne soit pas financé 2 fois.

Le financement sera débloqué sur présentation de justificatifs après la réalisation de l’exercice de continuité d’activité.

20. Le ou les prestataires sont-ils référencés par le GRADeS, ou bien pouvons-nous choisir notre prestataire ?

Le GRADeS mettra à disposition un support contractuel régional pour les établissements qui auront répondu favorablement à l’AMI et qui seront donc identifiés comme bénéficiaires de l’accord cadre. Ce support contractuel n’est pas obligatoire. Les établissements qui disposent déjà d’un support contractuel, ont l’habitude de fonctionner avec des prestataires ou des centrales d’achat nationales peuvent bien sûr passer en direct.
 

21. Est-ce que le GRADES ne proposera des prestataires qu'à partir de mai 2023 ?

La notification de l’accord cadre régional sur les périmètres audits et exercices de crise est en effet prévue pour fin mai 2023. C’est le calendrier le plus serré nous permettant d’identifier les bénéficiaires de l’accords cadre, réaliser une estimation des volumes de commandes avec les bénéficiaires et respecter les procédures des marchés publics.   

22. Sur le périmètre "Audits", est-ce qu'on pourra dérouler un seul type d'audit et pas l'ensemble des audits qui seront proposés ?

C’est bien l’esprit dans lequel nous rédigeons le marché.  Chaque établissement bénéficiaire de l’accord cadre pourra passer des bons de commandes sur les prestations de son choix.

23. Est-ce que seuls les RSSI ont accès la plateforme collaborative CYBER ?

L’objectif est la mise en place d’une communauté de veille et partage SSI permettant entres autres du partage de ressources, de poser des questions via un forum d’échanges, de bénéficier d’un annuaire. Si le profil RSSI semble naturel pour participer à cette communauté, chaque établissement peut identifier les bons profils en fonction de son organisation propre.

Les prestations proposées par le GRADeS ne sont pas obligatoires. Cet AMI vous permet de vous positionner si vous le souhaitez uniquement. Les prestations du GRADeS proposées dans le cadre de cet AMI (support contractuel régional « audits & exercices de crises », plate-forme collaborative et offre de sensibilisation) ne feront l’objet d’aucune refacturation vers les établissements. Dans le cadre du support contractuel régional, les établissements bénéficiaires passeront leurs bons de commandes en direct au(x) prestataire(s) sans passer par le GRADeS. L’accompagnement financier éventuel de l’ARS sur les exercices de crise se fera directement à l’établissement, et ce quelle que soit la solution choisie : que l’établissement passe par le futur marché régional ou par le prestataire de son choix.

25. Un établissement membre d’un GHT et non prioritaire en 2023 qui réaliserait l'exercice en 2024 bénéficiera-t-il d'un accompagnement financier ?

L’ARS accompagnera l’ensemble des établissements pour leur premier exercice de continuité d’activité y compris en 2024.

26. Quelle la nature de l’accompagnement ? référencement de prestataires, guides méthodologiques, scénarisation de l'exercice par le prestataire...

L’ANS a mis à disposition sur son portail 3 kits de scénario d’exercices (débutant, intermédiaire et confirmé). Pour un premier exercice, il est recommandé d’être accompagné par un prestataire pour dérouler le kit adapté à l’établissement. L’accompagnement de l’ARS permettra de financer tout ou partie de la prestation d’aide à la réalisation de l’exercice de crise.

27. Les établissements médico-sociaux peuvent-ils participer ?

L’appel à manifestation d’intérêt s’adresse uniquement aux établissements sanitaires. Cependant, les ESMS susceptibles d’être intéressés par l’un ou l’autre des sujets de l’AMI peuvent se rapprocher :

• de l’ARS pour l’exercice de continuité d’activité
• du GRADeS e-santé Occitanie pour le Centre de Ressources Mutualisées

28. Le formulaire dans démarches simplifiées doit être rempli en 1 fois ou peut-on y revenir plusieurs fois et remplir en plusieurs fois ?

Le formulaire est enregistré dans Démarches Simplifiées et il est possible de le remplir en plusieurs fois. Un mail contenant un lien vers le dossier en cours est envoyé dès le début de la démarche.

29. Quels sont les contours de cette obligation d'évaluation cyber pour 2023?

Une instruction relative à l’obligation de réaliser des exercices de crise cyber dans les établissements de santé et à leur financement devrait paraître courant janvier. Elle viendra appuyer la note d’information N° SG/SHFDS/2021/253 du 14 décembre 2021. Les objectifs à mai 2023 concernant le nombre d’établissements ayant conduit un exercice de crise cybersécurité sont les suivants :

• 100% des établissements OSE – Opérateurs de services essentiels
• 25% des autres établissements

30. Le marché va arriver tard pour les OSE, du coup cela signifie-t-il que même en répondant à l'AMI nous allons devoir partir de manière autonome ? la dépense sera-t-elle prise en charge si nous avons répondu à l'AMI ?

Effectivement, le support contractuel régional porté par le GRADeS va être proposé trop tard pour les OSE qui devront faire appel à un prestataire soit en direct soit en passant par une plate-forme d’achats. La subvention proposée par l’ARS pour l’accompagnement par un prestataire sera allouée dans ce cas également.

31. La subvention dans le cadre de l'AMI sera-t-elle reconduite pour organiser les exercices des années suivantes et financer l'intervention de notre prestataire ? ou devrons nous intégrer ces futures dépenses dans nos EPRD ?

La subvention est allouée pour permettre aux établissements d’être accompagnés par un prestataire dans la réalisation de leur premier exercice de continuité d’activité sur 2023 et 2024 uniquement.

32. Existe-t-il une liste de prestataires accompagnateurs concernant les exercices ?

Les prestataires ci-dessous sont référencés auprès de centrales d’achats pour l’accompagnement des établissements dans la réalisation des exercices de continuité d’activité :

• Advens
• Orange CyberDefense
• Wavestone