Dispositif financier d’accompagnement à la réalisation des exercices de crise pour les établissements de santé en Occitanie - Cybersécurité

Appel à projets / candidatures / manifestation d'intérêt
SI de santé et télémédecine

En cours d'attribution

Face à l’augmentation des risques cyber, la stratégie ministérielle pour la cybersécurité a été renforcée fin 2022 avec la création d’une Task Force Cyber ayant pour objectif de bâtir un nouveau plan cyber pour les établissements de santé.

Dans le cadre de l’instruction N° SHFDS/FSSI/2023/15 du 30 janvier 2023 (à télécharger en bas de page dans "aller plus loin") relative à l’obligation de réaliser des exercices de crise cyber-sécurité dans les établissements de santé et à leur financement, l’ARS Occitanie lance un second appel à manifestation d’intérêt (AMI) du 26/07/2023 au 31/10/2023 afin de soutenir financièrement la réalisation de ces exercices au sein des établissements de santé de la région.

Cet appel à manifestation d’intérêt s’adresse aux établissements sanitaires n’ayant pas déposé de dossier de candidature lors du précédent AMI (publié du 02/12/2022 au 31/01/2023).

Une session de présentation de cet AMI est prévue en collaboration avec le GRADeS le jeudi 14 septembre de 10h30 à 12h.

Lien vers Démarches simplifiées : https://www.demarches-simplifiees.fr/commencer/candidature-ami-cyber-exercice-ca-occitanie

Modalités :

Les demandes de subvention devront être réalisées via la plateforme en ligne « Démarches Simplifiées » et devront être déposées avant le 31/10/2023.

Lien vers la démarche :  https://www.demarches-simplifiees.fr/commencer/candidature-ami-cyber-exercice-ca-occitanie

Aucune demande réalisée en dehors de cet outil ne pourra être traitée.

 

Les conditions d’éligibilité sont les suivantes :

  • Le financement concernera tous les établissements de santé de la région n’ayant pas déjà déposé un dossier lors du précédent AMI : public et privé, toutes les catégories d’activité sont concernées : MCO, Psy, HAD, …
  • L’établissement devra faire appel à un prestataire externe pour l’accompagnement à la réalisation de ce premier exercice de continuité d’activité
  • L’exercice devra s’appuyer sur un des kits « exercices de crise cybersécurité » mis à disposition par l’ANS : Exercice de crise cyber | Portail du CERT Santé (cyberveille-sante.gouv.fr)
  • L’établissement devra avoir intégralement renseigné l’onglet OPSSIES de oSIS

 

 

 

L’appel à manifestation d’intérêt sera ouvert du 26/07/2023 au 31/10/2023.  Un 1er exercice de continuité d’activité devra avoir été réalisé :

  • Avant le 31/12/2023 pour 100% des établissement de santé MCO
  • Avant le 31/12/2023 pour 50% des ES de la région, toutes activités confondues
  • Avant le 31/05/2024 pour 70% des ES de la région, toutes activités confondues
  • Avant fin décembre 2024 pour 100 % des établissements de santé

L’ARS financera l’accompagnement à la réalisation des premiers exercices réalisés jusqu’à fin juin 2024.

Dans le cadre de la feuille de route du numérique en santé et au regard des récents évènements cyber, il est attendu des établissements sanitaires qu’ils réalisent chaque année un exercice de continuité d’activité en mode numérique dégradé.

L'exercice à réaliser est un exercice de continuité d'activité dont l'élément déclencheur est un incident cybersécurité. A ce titre, il doit permettre d'évaluer la capacité de l'établissement à poursuivre son activité de prise en charge des patients dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impliquer la direction générale et les directions métiers de l'établissement.

Un exercice de continuité d'activité au niveau établissement n'est pas :

  • un exercice de continuité informatique
  • un test de plan de reprise informatique au niveau groupe
  • un test du mode dégradé lors des opérations de maintenance du système d'information
  • une bascule régulière entre systèmes de secours
  • un test de restauration
  • une restauration de l'annuaire Active Directory ou de la messagerie

 

Afin que les établissements puissent être accompagnés dans cette démarche, l’ARS Occitanie allouera une subvention forfaitaire aux structures qui réaliseront un exercice de continuité d’activité en 2023 et 2024. Celle-ci permettra de couvrir le coût de l’accompagnement par un prestataire référencé.

Les kits d’exercices de crise cybersécurité prêts à l’emploi et autoporteurs ont été élaborés par l’ANS afin de faciliter l’organisation de ces exercices. Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en terme de cybersécurité :

  • Kit débutant
  • Kit intermédiaire
  • Kit expert

Ils sont disponibles sur le site cyberveille-santé (Exercice de crise cyber | Portail du CERT Santé (cyberveille-sante.gouv.fr)). Une FAQ concernant ces kits (ANS_FAQ_Kits exercices de crise.pdf (cyberveille-sante.gouv.fr)) est également proposée.

Afin de choisir le kit adapté à votre établissement, le niveau de maturité cybersécurité de l’établissement doit être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.

Cette grille complétée devra être jointe dans le formulaire de candidature « Démarches simplifiées ».

Le montant de la subvention forfaitaire allouée par l’ARS dépend du niveau d’exercice réalisé.

Niveau d’exercice réalisé

Subvention forfaitaire allouée

Débutant

4500€

Intermédiaire

7000€

Confirmé

1000€

Les pièces justificatives demandées pour chaque établissement seront les suivantes :

  1. Une facture qui présente les mentions suivantes :
  • nom du prestataire
  • date de réalisation de l’exercice
  • niveau du kit d’exercice de crise de l’ANS utilisé
  1. Un CR de l’exercice de continuité d’activité réalisé mentionnant notamment les services ou départements ayant participé à l’exercice

Une convention sera établie entre l’ARS Occitanie et l’établissement. Celle-ci fera l’objet d’un circuit de signature dématérialisé via Yousign. L’expéditeur du message sera le suivant : « notifications@webapp.yousign.com ».

Les subventions seront versées par l’ARS Occitanie si les conditions d’éligibilité sont respectées et les pièces attendues déposées sur la plateforme « Démarches simplifiées » dès réalisation de l’exercice.

 

Afin d’être accompagné dans la réalisation de son exercice de continuité d’activité, l’établissement peut :

  • Faire appel au prestataire de son choix, certains étant référencés auprès de centrales d’achats
  • Faire appel au centre de ressources du GRADeS afin de faire intervenir un prestataire référencé

  1. Qu’est-ce qu’un établissement OSE et où trouver la liste des établissements OSE ?

Un OSE est un Opérateur de Services Essentiels qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société. Dans le cadre de la directive NIS, tous les établissements support de GHT ont été désignés OSE.

Vous trouverez plus d’informations sur les OSE en consultant le lien ci-dessous : https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/faq-operateurs-de-services-essentiels-ose/

  1. Une coupure réelle du système informatique qui nécessite de passer en mode dégradé des soins peut-elle servir de test annuel de continuité d'activité?

Cela pourrait être le cas à la condition que les directions métiers et la direction générale de l’établissement soient impliquées dans l’exercice. Il est toutefois précisé que l’exercice attendu ne nécessite pas de coupure réelle du SI.

  1. Peut-on déposer un dossier unique au niveau du GHT ou doit-on faire x dossiers par établissements membres du groupement?

L’obligation de réaliser un exercice de continuité d’activité s’entend par établissement. Il est donc nécessaire de déposer un dossier par établissement membre du groupement.

  1. Est-ce que l’AMI / l’obligation d’exercice de continuité d’activité concerne aussi les HAD ?

L’obligation de réaliser un exercice de continuité d’activité concerne l’ensemble des établissements de santé.

  1. Si notre niveau de maturité nous positionne en niveau 3, peut-on réaliser l’exercice avec le kit de niveau 2 ou doit-on forcément utiliser le kit d’exercice de niveau 3 ?

Si vous n'avez jamais réalisé d'exercice de continuité d'activité, quel que soit le niveau de maturité de votre établissement, il est conseillé de commencer par un exercice "kit débutant". D’autre part, il est tout à fait possible d’obtenir un niveau de maturité 2 ou 3 et de commencer par un niveau d’exercice inférieur.

  1. Peut-on d’ores et déjà télécharger les kits d’exercices ?

Les kits d’exercices sont disponibles sur le site cyberveille santé.

  1. L’exercice cyber est obligatoire mais pas l’AMI, est-ce que seuls les premiers inscrits seront financés ou 100% des candidats à l’AMI ?

Une enveloppe budgétaire est prévue pour financer l’accompagnement des établissements par un prestataire pour la réalisation des exercices de continuité d’activité pour l’année 2023. L’ARS Occitanie financera cet accompagnement pour la réalisation du premier exercice de CA sur 2023 et 2024 pour tous les candidats à l’AMI.

  1. Concernant la réalisation d’un exercice de crise par établissement, qu’entendez-vous par FINESS EJ ou par FINESS EG ?

Pour les structures publiques, un établissement correspond à un FINESS juridique. Pour les structures privées, un établissement correspond à un FINESS géographique.

  1. Concernant les FINESS, quid d'un établissement privé avec une entité juridique mais différentes entités géographiques ? (sites d'autodialyse). Peut-on dans ce cas indiquer le FINESS juridique ?

Concernant les sites d’autodialyse, merci de contacter directement l’ARS par téléphone ou mail.

  1. Est-ce qu'on peut candidater à cet AMI alors qu'on est dans le parcours sécurisation France Relance ?

Il est possible pour l’établissement de candidater à cet appel à manifestation d’intérêt y compris s’il est intégré dans le parcours de sécurisation France Relance. Le financement alloué par l’ARS devra être utilisé pour l’accompagnement à la réalisation de l’exercice de continuité d’activité. L’ARS sera vigilante au fait que cet accompagnement ne soit pas financé 2 fois.

Le financement sera débloqué sur présentation de justificatifs après la réalisation de l’exercice de continuité d’activité.

  1. Un établissement membre d’un GHT et non prioritaire en 2023 qui réaliserait l'exercice en 2024 bénéficiera-t-il d'un accompagnement financier ?

L’ARS accompagnera l’ensemble des établissements pour leur premier exercice de continuité d’activité y compris en 2024.

  1. Quelle la nature de l’accompagnement ? référencement de prestataires, guides méthodologiques, scénarisation de l'exercice par le prestataire...

L’ANS a mis à disposition sur son portail 3 kits de scénario d’exercices (débutant, intermédiaire et confirmé). Pour un premier exercice, il est recommandé d’être accompagné par un prestataire pour dérouler le kit adapté à l’établissement. L’accompagnement de l’ARS permettra de financer tout ou partie de la prestation d’aide à la réalisation de l’exercice de crise.

  1. Les établissements médico-sociaux peuvent-ils participer ?

Cet appel à manifestation d’intérêt s’adresse uniquement aux établissements sanitaires. Cependant, les ESMS souhaitant d’ores et déjà réaliser un exercice de crise peuvent se rapprocher de l’ARS.

  1. Le formulaire dans démarches simplifiées doit être rempli en 1 fois ou peut-on y revenir plusieurs fois et remplir en plusieurs fois ?

Le formulaire est enregistré dans « Démarches Simplifiées » et il est possible de le remplir en plusieurs fois. Un mail contenant un lien vers le dossier en cours est envoyé dès le début de la démarche.

  1. La subvention dans le cadre de l'AMI sera-t-elle reconduite pour organiser les exercices des années suivantes et financer l'intervention de notre prestataire ? ou devrons nous intégrer ces futures dépenses dans nos EPRD ?

La subvention est allouée pour permettre aux établissements d’être accompagnés par un prestataire dans la réalisation de leur premier exercice de continuité d’activité sur 2023 et 2024 uniquement.

Aller plus loin

Documents à télécharger