APPEL À FINANCEMENT RELATIF À UN PROGRAMME DE FINANCEMENT DESTINÉ À RENFORCER LA SÉCURITÉ NUMÉRIQUE DES ÉTABLISSEMENTS DE SANTÉ - FONCTION « ANNUAIRES TECHNIQUES ET EXPOSITION SUR INTERNET »
ANNEXES
ANNEXE 1
PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS
|
Historique du document - Suivi des modifications apportées |
|||
|---|---|---|---|
|
Version |
Date |
Auteur |
Commentaires/modifications |
|
V1 |
23/11/2023 |
Direction programme |
|
|
V2 |
14/02/2024 |
Direction programme |
D1.O2.A : Intégration usage possible de SILENE |
|
V3 |
16/02/2024 |
Direction programme |
D1.O1.A : Ajustement de la définition “phase opérationnelle”, D1.O1.B : Ajout délai de réalisation du dernier audit AD avant déclaration d'atteinte des objectifs, D1.O2.A : Ajustement de la définition “phase opérationnelle”, D1.O2.B : Ajout délai de réalisation du dernier audit exposition internet avant déclaration d'atteinte des objectifs. |
|
Identifiant |
Libellé |
Cible Domaine 1 |
Liste des pièces à fournir |
|---|---|---|---|
|
Prérequis |
|||
|
D1.P1 |
Atteindre les prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES |
L'établissement de santé (ES) doit avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES : • Prérequis PS2.1 - Présence d'une politique de sécurité et plan d'action SSI réalisé, existence d'un responsable sécurité (reprise à l'identique du P2.4 HOP'EN) • Prérequis PS2.2 - Cybersécurité : réalisation d'un audit externe de cybersurveillance (extension du P2.5 HOP'EN) Pour les GHT, il est nécessaire que • Ce prérequis soit atteint par'établissement support du GHT (FINESS EJ) ; • Les établissements du GHT (FINESS EJ) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée du GHT. Pour les établissements publics hors GHT, il est nécessaire que ce prérequis soit atteint par : • L'entité juridique (FINESS EJ) porteuse de la candidature. Pour les établissements privés (à but non lucratif et lucratif), il est nécessaire que : • Les établissements (FINESS EG) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée de l'entité juridique porteuse de la candidature. |
Pour les établissements ayant une candidature validée au programme SUN-ES : • Aucun document Pour les établissements n'ayant pas une candidature validée au programme SUN-ES : • Liste des documents exigées pour les prérequis PS2.1 et PS2.2 de SUN-ES : • Document présentant la politique de sécurité décrivant notamment l'analyse des risques détaillée, l plan d'action associé en lien avec le plan d'action SSI de l'instruction 309 du 14 octobre 2016 (datant de moins de 3 ans) et la fonction de responsable sécurité des SI (RSSI), • Procédure de remontée des incidents de sécurité (Art. L.1111- 8-2 CSP), • Organigramme mettant en évidence le positionnement du RSSI, préconisé en dehors de la DSI" par exemple rattaché à la cellule qualité, • Fourniture d'une attestation de la tenue d'au moins 2 rendez-vous annuels RSSI/Direction de l'établissement avec à l'ordre du jour a minima : le suivi du plan d'actions SSI et le suivi de la remontée des incidents de sécurité, • Fourniture d'une attestation de réalisation de l'audit de cybersurveillance (exposition sur internet) par le prestataire et signée par le directeur d'établissement et datant de moins de 2 ans. |
|
Objectifs |
|||
|
D1.O1.A |
Réaliser régulièrement des audits de tous les AD |
Un audit ADS (porté par l'ANSSI) doit être réalisé pour l'ensemble des annuaires des établissements du candidat tous les 2 mois durant la phase opérationnelle. NB : Les annuaires AD locaux ou en mode hybride (AD local avec recopie dans le cloud) sont concernés par cet objectif. Sous réserve de la mise à disposition courant 2024 par l'ANSSI d'un outil adapté aux AD hébergés complétement dans le cloud, ces annuaires hébergés dans le cloud sont également concernés par cet objectif. NB 2 : Les AD hébergés pour un tiers (en tant qu'hébergeur HDS) ne sont pas concernés par cet objectif. Phase opérationnelle : phase comprise entre : • La validation de la candidature d'un établissement par son ARS (sur le guichet dédié), • Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié. |
• Description exhaustive des infrastructures AD et de leurs interconnexions, • Rapports des audits ADS réalisés. |
|
D1.O1.B |
Atteindre un niveau de sécurisation minimum des AD |
Cible à atteindre : Un score supérieur ou égal à 2 doit être obtenu pour les 2 derniers audits ADS des différents AD, selon les règles ci-dessous : Pour les GHT : • Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD de l'établissement support, ET • Si le GHT à plusieurs entités juridiques (FINESS EJ) - Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EJ) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée du GHT. NB : Une entité juridique (EJ) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2. Pour les établissements publics hors GHT et pour les établissements privés : • Score des 2 derniers audits successifs ≥ 2 pour tous les AD de l'entité juridique (FINESS EJ), ET • Si l'EJ à plusieurs entités géographiques (FINESS EG), - Score des 2 derniers audits successifs ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EG) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée de l'entité juridique. NB : Une entité géographique (EG) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2. NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit ADS réalisé devra dater d'un mois maximum. |
• 2 derniers rapports des audits ADS pour l'ensemble des AD du candidat. |
|
D1.O2.A |
Réaliser régulièrement des audits de l'exposition internet |
Un audit d'exposition internet doit être réalisé tous les deux mois durant la phase opérationnelle. Phase opérationnelle : phase comprise entre : • La validation de la candidature d'un établissement par son ARS (sur le guichet dédié), • Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié. Pour réaliser cet audit, il est possible de solliciter : • Le service SILENE (ANSSI), • Une plateforme d'audit industrielle chargée de produire les rapports conclusifs (D1.O2.B). Cette plateforme respectera le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé) qui décrit les attendus de cet audit en termes d'éléments contrôlés et de de modalités de restitution des résultats. |
• Liste des Domaines exposés, • Liste des adresses IP publiques, • Rapports d'audit d'exposition internet réalisés. |
|
D1.O2.B |
Atteindre un niveau de sécurisation minimum de son exposition sur internet |
Pour les GHT, les établissements publics hors GHT et les établissements privés : Absence de vulnérabilités et de risques de niveau critique sur les 2 derniers audits successifs d'exposition internet sur l'ensemble du périmètre. NB 1 : Ces deux derniers audits devront impérativement être réalisés par une plateforme d'audit industrielle respectant le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé), NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit réalisé devra dater d'un mois maximum. |
• Deux derniers rapports d'audit d'exposition internet (démontrant l'absence de vulnérabilité critique (CVSS supérieur à 9.0) et des risques de niveau critique et l'application des correctifs de sécurité associés). |
|
D1.O3 |
Se préparer au risque cyber |
Un premier exercice de crise cyber a été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) en 2023 ou 2024. |
• Rapport de réalisation de l'exercice sur la base du modèle fourni dans les kits ANS ou une attestation de réalisation par le prestataire, l'ARS ou le GRADeS. |
|
D1.O4 |
S'auto-évaluer en matière de maturité vis-à-vis des risques cyber |
100 % des établissements du candidat (au sens FINESS PMSI) ont renseigné l'oSIS sur les champs suivants : • Part du budget numérique dans le budget global de l'ES, • 43 mesures prioritaires. |
• Aucune. |
|
D1.O5 |
Calculer le budget dédié au numérique |
Calculer la part du budget dédiée au numérique dans le budget général des établissements du candidat (au sens FINESS PMSI) et le nombre d'ETP dédié à la SSI (ces ETP incluent les ressources de la DSI ainsi que le RSSI). |
• Aucune. |
|
D1.O6.A (Spécifique GHT) |
Piloter au niveau du GHT la réponse au programme et le suivi de l'atteinte des objectifs |
Le GHT doit : • Désigner un référent du projet, nommé par le directeur de l'établissement support de GHT, dont le rôle sera de : - Suivre la bonne réalisation des audits AD et d'exposition internet, - Veiller à la bonne exécution de l'exercice de gestion de crise, - Veiller au bon remplissage de l'oSIS dont notamment la part du numérique dans le budget. • Mettre en place une équipe opérationnelle unique pour la gestion des AD au niveau du GHT en charge de la réalisation des audits et des actions de remédiation associées, • Mettre en place la gouvernance transverse du projet CaRE l'ensemble du GHT, assurant notamment la coordination du référent, de la DSI, du RSSI et de l'équipe opérationnelle. |
• Constitution de l'équipe projet, • Schéma de le gouvernance mise en place. |
|
D1.O6.B (Spécifique GHT) |
Formaliser la stratégie du GHT en matière de convergence des AD |
Le GHT doit formaliser, présenter et faire valider par le comité stratégique du GHT : • Un document précisant les modalités de convergence de l'infrastructure AD du GHT, • Ce document est élaboré au niveau du GHT et validé par la Direction générale de l'établissement support du GHT et la DSI de l'établissement support du GHT, • Ce document comprend un planning projet prévoyant une trajectoire de convergence de l'infrastructure AD à une échéance maximale de 18 mois post appel à financement D1, les modalités organisationnelles devant être mises en œuvre (existence d'un responsable et mutualisation des équipes SI dédiées à ces sujets) et le budget prévisionnel nécessaire au projet. |
• Trajectoire de convergence des AD qui adresse l'ensemble des établissements du GHT. |