Articles

Article AUTONOME (Arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Annuaires techniques et exposition sur internet »)

Données brutes

Article AUTONOME (Arrêté du 18 mars 2024 relatif à un programme de financement destiné à renforcer la sécurité numérique des établissements de santé - Fonction « Annuaires techniques et exposition sur internet »)

1.2. Présentation du Domaine 1 du programme CaRE

Le premier appel à financement (« Domaine 1 ») du programme CaRE pour les établissements de santé vise le renforcement de leur niveau de sécurité en maitrisant leur exposition sur internet et en consolidant la maitrise des annuaires techniques. Les cyberattaques récentes montrent que l'exposition internet est l'un des vecteurs principaux de pénétration par les attaquants dans le système d'information des établissements de santé. L'Active Directory (annuaire technique) est ensuite le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d'infliger plus de dégâts.
Le Domaine 1 vise à :

- atteindre un premier niveau de remédiation de l'exposition sur internet ;
- atteindre un premier niveau de remédiation de la configuration des annuaires techniques (AD) ;
- se préparer au risque d'une cyberattaque ;
- s'auto-évaluer sur sa maturité vis-à-vis des risques cyber ;
- prévoir une trajectoire de convergence des annuaires techniques au niveau du GHT (pour les ES publics).

2. Critères d'éligibilité des établissements de santé bénéficiaires des financements

Les ES éligibles au dispositif de financement Domaine 1 du programme CaRE sont les ES structures de droit public ou privé, qui :

- disposent d'une autorisation à jour, délivrée par l'ARS de rattachement, leur permettant d'exercer en tant qu'établissement de santé ;
- ont déclaré une activité PMSI non nulle en termes de séjours hospitaliers en 2022 ;
- possèdent un identifiant FINESS juridique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 1101, 1102, 1103, 1104, 1106, 1107, 1109, 1110, 1111, 1201, 1203, 1205, 2205 ;
- possèdent un identifiant FINESS géographique, dont la catégorie FINESS est comprise dans les valeurs suivantes : 101, 355, 292, 131, 106, 109, 362, 122, 128, 129, 365, 156, 161, 366, 412, 415, 425, 430, 444, 127, 141, 114, 115, 697.

Ces dispositions s'appliquent aux départements et régions d'outre-mer, ne s'appliquent pas aux territoires et collectivité d'outre-Mer, la Polynésie française, de la Nouvelle-Calédonie, et de Wallis et Futuna, Saint-Barthélemy, Saint-Martin, Saint-Pierre-et-Miquelon.
Base des ES éligibles
La Base des ES éligibles désigne la base listant les identifiants des ES, leur Activité combinée en 2022 par FINESS PMSI et les montants auxquels ils peuvent prétendre sous condition dans le cadre du présent dispositif Domaine 1 du programme CaRE. Cette base est mise à disposition sur le site de l'ANS. Les informations contenues dans cette base sont celles faisant foi.
Conditions portant sur prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES
Les ES éligibles doivent avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES pour pouvoir solliciter le financement du dispositif Domaine 1 du programme CaRE. Ces prérequis sont présentés dans l'annexe 1 - Prérequis et objectifs du domaine D1. Les ES éligibles dont la candidature au programme SUN-ES a été validée n'ont pas besoin de justifier le respect de ces conditions.
Les ES éligibles devront attester qu'ils n'ont pas bénéficié de fonds européens pour financer des opérations d'amélioration de leur cybersécurité en lien avec les objectifs de cet appel à financement sur les mêmes actions.

3. Financements du Domaine 1 pour l'atteinte d'objectifs definis

Les investissements du Domaine 1 du programme CaRE ont pour objectif de concentrer le soutien financier sur des objectifs et indicateurs favorisant la sécurité des SI des établissements de santé. Il est ainsi prévu de financer les établissements, sous la condition qu'ils atteignent plusieurs objectifs préalablement définis.
Ces objectifs :

- s'inscrivent dans la continuité des indicateurs HOP'EN et SUN-ES pour accompagner progressivement la montée en maturité du niveau de sécurité des systèmes d'information des établissements ;
- sont concentrés sur la réalisation d'audits des annuaires techniques (AD) et de l'exposition internet et l'atteinte d'un niveau minimum de sécurité via la mise en œuvre de mesures de remédiation.

L'annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du domaine D1 définit pour chaque objectif les valeurs cibles et autres conditions minimales à réunir pour valider l'atteinte des objectifs, ainsi que les textes de référence pouvant s'appliquer.

4. Calendrier de l'appel à financement du Domaine 1

L'appel à financement du Domaine 1 est mis en œuvre selon le calendrier suivant :

5. Modalités de mobilisation des financements
5.1. Modalités de dépôt des candidatures au financement
5.1.1. Entités autorisées à déposer une candidature au financement

Les ES autorisés à déposer des candidatures au financement pour le compte des ES éligibles sont définis en fonction du statut des ES éligibles :

- pour les ES éligibles publics :
- dans le cadre d'un GHT, l'établissement support du GHT candidate pour l'ensemble des EJ du GHT, dans le respect de la convention constitutive du GHT présentant ses compétences et ses instances décisionnelles, ou le cas échéant, avec une autorisation octroyée lors d'une instance décisionnelle. Les ESMS membres du GHT ne sont pas concernés pour le Domaine D1 ;
- pour les ES éligibles ne faisant pas partie d'un GHT : la demande de candidature au financement doit être portée par l'entité juridique ;
- pour les établissements privés (à but non lucratif et lucratif), la demande de candidature au financement doit être portée par l'entité juridique pour l'ensemble de ses ES géographiques.

5.1.2. Modalités de dépôt des candidatures au financement

Les ES autorisés à déposer une candidature au financement doivent déposer leur dossier via le guichet en ligne géré par l'opérateur de paiement dans les délais définis en section 4.
Pour être recevables, les candidatures doivent comporter l'ensemble des éléments administratifs et les pièces justificatives mentionnées dans l'annexe 1 de l'arrêté (annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1).

5.1.3. Instruction des candidatures

Les candidatures au financement sont instruites par les agences régionales de santé qui vérifient la complétude des demandes et le respect des critères d'éligibilité définis dans l'annexe 1 - Prérequis, objectifs et preuves d'atteinte des objectifs du Domaine D1.
Les candidatures validées donnent lieu à une notification aux ES ayant déposé la demande et à la signature d'une convention avec l'opérateur de paiement (l'Agence du numérique en santé) définissant les engagements mutuels des deux parties.

5.2. Modalités de versement des financements
5.2.1. Déclaration de l'atteinte des objectifs et instruction des demandes

Une fois les objectifs atteints par les ES éligibles, les entités autorisées à déposer les demandes doivent déclarer sur la plateforme en ligne dédiée l'atteinte des objectifs et y déposer les pièces justificatives.
L'ARS et l'ANS procèdent ensuite à l'instruction des éléments déclarés et des pièces justificatives déposées afin d'en vérifier la complétude, la recevabilité et la conformité avec les objectifs à atteindre.
Dans le cadre des contrôles de conformité mené par l'ANS, des contrôles supplémentaires sur pièce ou sur site peuvent être sollicités par l'ANS.

6. Montants des financements attribués

Les financements attribués dans le cadre du Domaine D1 du programme CaRE sont plafonnés. Les montants planchers sont de 15 000 € et les montants plafonds varient selon le nombre d'établissements rattachés à l'entité autorisée à porter la demande, et en fonction de l'Activité combinée.
Trois types d'établissements sont distingués pour le calcul des montants plafonds :

- les GHT ;
- les établissements publics hors GHT ;
- les établissements privés à but lucratif ou non lucratif.

Pour les GHT, le montant du financement plafond correspond à la somme :

- d'une part liée au nombre d'EJ composant le GHT :
- en premier lieu, un nombre pondéré d'EJ est calculé en tenant compte d'un mécanisme de dégressivité qui s'applique :
- les 3 premiers EJ sont comptabilisés à 100 % ;
- le nombre d'EJ au-delà du seuil des 3 premiers EJ est comptabilisé à 50 % ;
- le montant est égal au nombre pondéré d'EJ multiplié par le montant du forfait EJ ;
- d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée du GHT sur 100 000 multiplié par le forfait AC public.

Pour les établissements publics hors GHT, le montant du financement plafond correspond à la somme :

- d'une part liée au nombre d'EG composant l'EJ : le montant est égal au nombre d'EG multiplié par le montant du forfait EG public ;
- d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée de l'EJ sur 100 000 multiplié par le forfait AC public.

Pour les autres établissements, le montant du financement plafond est la somme :

- d'une part liée au nombre d'EG composant l'EJ :
- en premier lieu, un nombre pondéré d'EG est calculé en tenant compte d'un mécanisme de dégressivité qui s'applique :
- aux EG d'activité psychiatrique (PSY), dont le nombre est pondéré à 0,5 ;
- aux EG d'activité maladie rénale chronique (MRC) dont le nombre est pondéré à 0,25 ;
- le montant est égal au nombre d'EG pondéré multiplié par le montant du forfait EG privé ;
- d'une autre partie liée à l'Activité combinée : le montant de cette part est égal au rapport de l'Activité combinée de l'EJ sur 100 000 multiplié par le forfait AC privé.

Le montant du financement plafond est calculé sur la base de ces forfaits :

- montant du forfait établissement juridique (EJ) = 43 421,05 € ;
- montant du forfait établissement géographique (EG) public : 11 395,03 € ;
- montant du forfait établissement géographique (EG) privé : 11 395,03 € ;
- montant du forfait Activité combinée (AC) public : 17 377,59 € par tranche de 100 000 activités combinées ;
- montant du forfait Activité combinée (AC) privé : 12 897,68 € par tranche de 100 000 activités combinées.

Le montant des plafonds pour chaque ES éligible est mis à disposition sur le site de l'ANS (cf. section 2).
Le montant des financements qui sera alloué aux établissements de santé sera calculé à partir de la déclaration des coûts réellement engagés par l'établissement à partir du 1er janvier 2023 jusqu'à la déclaration d'atteinte des objectifs (« période d'éligibilité »). Cette déclaration sera établie sur la base des principes de comptabilité analytique généralement acceptés et mis en œuvre pour le calcul des surcompensations éventuelles.
Seuls les coûts engagés ainsi déclarés donneront lieu à un financement, lequel ne pourra excéder le plafond applicable à l'ES, tel qu'il est défini ci-dessus. L'établissement tient à disposition de l'ANS, l'ensemble des éléments comptables permettant de vérifier que les coûts engagés qu'il aura déclarés et qui auront donné lieu au versement des financements correspondent effectivement aux coûts occasionnés par l'atteinte des objectifs du présent dispositif.
S'il est constaté à l'occasion d'un contrôle que les financements versés à l'ES excèdent les coûts effectivement occasionnés pour l'atteinte des objectifs du présent dispositif, l'excédent sera constitutif d'une surcompensation, qui devra être restitué selon les modalités qui seront alors définies par l'ANS conformément à la règlementation européenne.

7. Gestion des indus et recouvrement

En cas de non-respect des dispositions de l'arrêté et de ses annexes, ou de celles de la convention liant l'ES bénéficiaire du financement et l'ANS, l'ANS, après avoir mis en demeure de façon infructueuse l'ES éligible de remédier aux manquements constatés ou de présenter ses observations dans un délai raisonnable, ordonne le retrait du financement puis le reversement des sommes indument perçues.
Ce reversement pourra en particulier être ordonné dans les cas de constatation a posteriori d'une déclaration erronée de l'ES éligible (ex : fausse déclaration dans les pièces justificatives nécessaire à la démonstration de l'atteinte des objectifs). Dans ce cas, l'ES éligible pourra être amené à reverser l'intégralité de la somme reçue pour l'atteinte des objectifs.
En cas de contrôle par l'ANS, et si une surcompensation est constatée, l'ANS demandera à l'ES bénéficiaire un reversement des financements versés. Un tel contrôle peut être initié à la demande du financeur ou de la Commission européenne.

Glossaire