Retour à la section

Annexe

Article suivant

Programme CARE : objectifs et critères de sécurisation des systèmes d'information

JORF n°0069 du 22 mars 2024

APPEL À FINANCEMENT RELATIF À UN PROGRAMME DE FINANCEMENT DESTINÉ À RENFORCER LA SÉCURITÉ NUMÉRIQUE DES ÉTABLISSEMENTS DE SANTÉ - FONCTION « ANNUAIRES TECHNIQUES ET EXPOSITION SUR INTERNET »
ANNEXES
ANNEXE 1
PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS

|Historique du document - Suivi des modifications apportées| | | | |----------------------------------------------------------|----------|-------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Version | Date | Auteur | Commentaires/modifications | | V1 |23/11/2023|Direction programme| | | V2 |14/02/2024|Direction programme| D1.O2.A : Intégration usage possible de SILENE | | V3 |16/02/2024|Direction programme|D1.O1.A : Ajustement de la définition “phase opérationnelle”,
D1.O1.B : Ajout délai de réalisation du dernier audit AD avant déclaration d'atteinte des objectifs,
D1.O2.A : Ajustement de la définition “phase opérationnelle”,
D1.O2.B : Ajout délai de réalisation du dernier audit exposition internet avant déclaration d'atteinte des objectifs.|

| Identifiant | Libellé | Cible Domaine 1 | Liste des pièces à fournir | |------------------------------|---------------------------------------------------------------------------------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Prérequis | | | | | D1.P1 |Atteindre les prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES| L'établissement de santé (ES) doit avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES :
• Prérequis PS2.1 - Présence d'une politique de sécurité et plan d'action SSI réalisé, existence d'un responsable sécurité (reprise à l'identique du P2.4 HOP'EN)
• Prérequis PS2.2 - Cybersécurité : réalisation d'un audit externe de cybersurveillance (extension du P2.5 HOP'EN)
Pour les GHT, il est nécessaire que
• Ce prérequis soit atteint par'établissement support du GHT (FINESS EJ) ;
• Les établissements du GHT (FINESS EJ) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée du GHT.
Pour les établissements publics hors GHT, il est nécessaire que ce prérequis soit atteint par :
• L'entité juridique (FINESS EJ) porteuse de la candidature.
Pour les établissements privés (à but non lucratif et lucratif), il est nécessaire que :
• Les établissements (FINESS EG) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée de l'entité juridique porteuse de la candidature. |Pour les établissements ayant une candidature validée au programme SUN-ES :
• Aucun document
Pour les établissements n'ayant pas une candidature validée au programme SUN-ES :
• Liste des documents exigées pour les prérequis PS2.1 et PS2.2 de SUN-ES :
• Document présentant la politique de sécurité décrivant notamment l'analyse des risques détaillée, l plan d'action associé en lien avec le plan d'action SSI de l'instruction 309 du 14 octobre 2016 (datant de moins de 3 ans) et la fonction de responsable sécurité des SI (RSSI),
• Procédure de remontée des incidents de sécurité (Art. L.1111- 8-2 CSP),
• Organigramme mettant en évidence le positionnement du RSSI, préconisé en dehors de la DSI" par exemple rattaché à la cellule qualité,
• Fourniture d'une attestation de la tenue d'au moins 2 rendez-vous annuels RSSI/Direction de l'établissement avec à l'ordre du jour a minima : le suivi du plan d'actions SSI et le suivi de la remontée des incidents de sécurité,
• Fourniture d'une attestation de réalisation de l'audit de cybersurveillance (exposition sur internet) par le prestataire et signée par le directeur d'établissement et datant de moins de 2 ans.| | Objectifs | | | | | D1.O1.A | Réaliser régulièrement des audits de tous les AD | Un audit ADS (porté par l'ANSSI) doit être réalisé pour l'ensemble des annuaires des établissements du candidat tous les 2 mois durant la phase opérationnelle.
NB : Les annuaires AD locaux ou en mode hybride (AD local avec recopie dans le cloud) sont concernés par cet objectif. Sous réserve de la mise à disposition courant 2024 par l'ANSSI d'un outil adapté aux AD hébergés complétement dans le cloud, ces annuaires hébergés dans le cloud sont également concernés par cet objectif.
NB 2 : Les AD hébergés pour un tiers (en tant qu'hébergeur HDS) ne sont pas concernés par cet objectif.
Phase opérationnelle : phase comprise entre :
• La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),
• Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié. | • Description exhaustive des infrastructures AD et de leurs interconnexions,
• Rapports des audits ADS réalisés. | | D1.O1.B | Atteindre un niveau de sécurisation minimum des AD |Cible à atteindre :
Un score supérieur ou égal à 2 doit être obtenu pour les 2 derniers audits ADS des différents AD, selon les règles ci-dessous :
Pour les GHT :
• Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD de l'établissement support,
ET
• Si le GHT à plusieurs entités juridiques (FINESS EJ)
- Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EJ) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée du GHT.
NB : Une entité juridique (EJ) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.
Pour les établissements publics hors GHT et pour les établissements privés :
• Score des 2 derniers audits successifs ≥ 2 pour tous les AD de l'entité juridique (FINESS EJ),
ET
• Si l'EJ à plusieurs entités géographiques (FINESS EG),
- Score des 2 derniers audits successifs ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EG) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée de l'entité juridique.
NB : Une entité géographique (EG) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.
NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit ADS réalisé devra dater d'un mois maximum.| • 2 derniers rapports des audits ADS pour l'ensemble des AD du candidat. | | D1.O2.A | Réaliser régulièrement des audits de l'exposition internet | Un audit d'exposition internet doit être réalisé tous les deux mois durant la phase opérationnelle.
Phase opérationnelle : phase comprise entre :
• La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),
• Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.
Pour réaliser cet audit, il est possible de solliciter :
• Le service SILENE (ANSSI),
• Une plateforme d'audit industrielle chargée de produire les rapports conclusifs (D1.O2.B). Cette plateforme respectera le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé) qui décrit les attendus de cet audit en termes d'éléments contrôlés et de de modalités de restitution des résultats. | • Liste des Domaines exposés,
• Liste des adresses IP publiques,
• Rapports d'audit d'exposition internet réalisés. | | D1.O2.B | Atteindre un niveau de sécurisation minimum de son exposition sur internet | Pour les GHT, les établissements publics hors GHT et les établissements privés :
Absence de vulnérabilités et de risques de niveau critique sur les 2 derniers audits successifs d'exposition internet sur l'ensemble du périmètre.
NB 1 : Ces deux derniers audits devront impérativement être réalisés par une plateforme d'audit industrielle respectant le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé),
NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit réalisé devra dater d'un mois maximum. | • Deux derniers rapports d'audit d'exposition internet (démontrant l'absence de vulnérabilité critique (CVSS supérieur à 9.0) et des risques de niveau critique et l'application des correctifs de sécurité associés). | | D1.O3 | Se préparer au risque cyber | Un premier exercice de crise cyber a été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) en 2023 ou 2024. | • Rapport de réalisation de l'exercice sur la base du modèle fourni dans les kits ANS ou une attestation de réalisation par le prestataire, l'ARS ou le GRADeS. | | D1.O4 | S'auto-évaluer en matière de maturité vis-à-vis des risques cyber | 100 % des établissements du candidat (au sens FINESS PMSI) ont renseigné l'oSIS sur les champs suivants :
• Part du budget numérique dans le budget global de l'ES,
• 43 mesures prioritaires. | • Aucune. | | D1.O5 | Calculer le budget dédié au numérique | Calculer la part du budget dédiée au numérique dans le budget général des établissements du candidat (au sens FINESS PMSI) et le nombre d'ETP dédié à la SSI (ces ETP incluent les ressources de la DSI ainsi que le RSSI). | • Aucune. | |D1.O6.A
(Spécifique GHT)| Piloter au niveau du GHT la réponse au programme et le suivi de l'atteinte des objectifs | Le GHT doit :
• Désigner un référent du projet, nommé par le directeur de l'établissement support de GHT, dont le rôle sera de :
- Suivre la bonne réalisation des audits AD et d'exposition internet,
- Veiller à la bonne exécution de l'exercice de gestion de crise,
- Veiller au bon remplissage de l'oSIS dont notamment la part du numérique dans le budget.
• Mettre en place une équipe opérationnelle unique pour la gestion des AD au niveau du GHT en charge de la réalisation des audits et des actions de remédiation associées,
• Mettre en place la gouvernance transverse du projet CaRE l'ensemble du GHT, assurant notamment la coordination du référent, de la DSI, du RSSI et de l'équipe opérationnelle. | • Constitution de l'équipe projet,
• Schéma de le gouvernance mise en place. | |D1.O6.B
(Spécifique GHT)| Formaliser la stratégie du GHT en matière de convergence des AD | Le GHT doit formaliser, présenter et faire valider par le comité stratégique du GHT :
• Un document précisant les modalités de convergence de l'infrastructure AD du GHT,
• Ce document est élaboré au niveau du GHT et validé par la Direction générale de l'établissement support du GHT et la DSI de l'établissement support du GHT,
• Ce document comprend un planning projet prévoyant une trajectoire de convergence de l'infrastructure AD à une échéance maximale de 18 mois post appel à financement D1, les modalités organisationnelles devant être mises en œuvre (existence d'un responsable et mutualisation des équipes SI dédiées à ces sujets) et le budget prévisionnel nécessaire au projet. | • Trajectoire de convergence des AD qui adresse l'ensemble des établissements du GHT. |

1 version

Historique des versions

Version 1

APPEL À FINANCEMENT RELATIF À UN PROGRAMME DE FINANCEMENT DESTINÉ À RENFORCER LA SÉCURITÉ NUMÉRIQUE DES ÉTABLISSEMENTS DE SANTÉ - FONCTION « ANNUAIRES TECHNIQUES ET EXPOSITION SUR INTERNET »

ANNEXES

ANNEXE 1

PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS

Historique du document - Suivi des modifications apportées

Version

Date

Auteur

Commentaires/modifications

V1

23/11/2023

Direction programme

V2

14/02/2024

Direction programme

D1.O2.A : Intégration usage possible de SILENE

V3

16/02/2024

Direction programme

D1.O1.A : Ajustement de la définition “phase opérationnelle”,

D1.O1.B : Ajout délai de réalisation du dernier audit AD avant déclaration d'atteinte des objectifs,

D1.O2.A : Ajustement de la définition “phase opérationnelle”,

D1.O2.B : Ajout délai de réalisation du dernier audit exposition internet avant déclaration d'atteinte des objectifs.

Identifiant

Libellé

Cible Domaine 1

Liste des pièces à fournir

Prérequis

D1.P1

Atteindre les prérequis de sécurité des systèmes d'information prévus par le programme SUN-ES

L'établissement de santé (ES) doit avoir validé les 2 prérequis liés à la sécurité des systèmes d'information qui figurent dans le programme SUN-ES :

• Prérequis PS2.1 - Présence d'une politique de sécurité et plan d'action SSI réalisé, existence d'un responsable sécurité (reprise à l'identique du P2.4 HOP'EN)

• Prérequis PS2.2 - Cybersécurité : réalisation d'un audit externe de cybersurveillance (extension du P2.5 HOP'EN)

Pour les GHT, il est nécessaire que

• Ce prérequis soit atteint par'établissement support du GHT (FINESS EJ) ;

• Les établissements du GHT (FINESS EJ) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée du GHT.

Pour les établissements publics hors GHT, il est nécessaire que ce prérequis soit atteint par :

• L'entité juridique (FINESS EJ) porteuse de la candidature.

Pour les établissements privés (à but non lucratif et lucratif), il est nécessaire que :

• Les établissements (FINESS EG) qui ont validé les prérequis PS2.1 et PS2.2 représentent au moins 90% de l'Activité combinée de l'entité juridique porteuse de la candidature.

Pour les établissements ayant une candidature validée au programme SUN-ES :

• Aucun document

Pour les établissements n'ayant pas une candidature validée au programme SUN-ES :

• Liste des documents exigées pour les prérequis PS2.1 et PS2.2 de SUN-ES :

• Document présentant la politique de sécurité décrivant notamment l'analyse des risques détaillée, l plan d'action associé en lien avec le plan d'action SSI de l'instruction 309 du 14 octobre 2016 (datant de moins de 3 ans) et la fonction de responsable sécurité des SI (RSSI),

• Procédure de remontée des incidents de sécurité (Art. L.1111- 8-2 CSP),

• Organigramme mettant en évidence le positionnement du RSSI, préconisé en dehors de la DSI" par exemple rattaché à la cellule qualité,

• Fourniture d'une attestation de la tenue d'au moins 2 rendez-vous annuels RSSI/Direction de l'établissement avec à l'ordre du jour a minima : le suivi du plan d'actions SSI et le suivi de la remontée des incidents de sécurité,

• Fourniture d'une attestation de réalisation de l'audit de cybersurveillance (exposition sur internet) par le prestataire et signée par le directeur d'établissement et datant de moins de 2 ans.

Objectifs

D1.O1.A

Réaliser régulièrement des audits de tous les AD

Un audit ADS (porté par l'ANSSI) doit être réalisé pour l'ensemble des annuaires des établissements du candidat tous les 2 mois durant la phase opérationnelle.

NB : Les annuaires AD locaux ou en mode hybride (AD local avec recopie dans le cloud) sont concernés par cet objectif. Sous réserve de la mise à disposition courant 2024 par l'ANSSI d'un outil adapté aux AD hébergés complétement dans le cloud, ces annuaires hébergés dans le cloud sont également concernés par cet objectif.

NB 2 : Les AD hébergés pour un tiers (en tant qu'hébergeur HDS) ne sont pas concernés par cet objectif.

Phase opérationnelle : phase comprise entre :

• La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),

• Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.

• Description exhaustive des infrastructures AD et de leurs interconnexions,

• Rapports des audits ADS réalisés.

D1.O1.B

Atteindre un niveau de sécurisation minimum des AD

Cible à atteindre :

Un score supérieur ou égal à 2 doit être obtenu pour les 2 derniers audits ADS des différents AD, selon les règles ci-dessous :

Pour les GHT :

• Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD de l'établissement support,

ET

• Si le GHT à plusieurs entités juridiques (FINESS EJ)

- Score des 2 derniers audits successifs ADS ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EJ) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée du GHT.

NB : Une entité juridique (EJ) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.

Pour les établissements publics hors GHT et pour les établissements privés :

• Score des 2 derniers audits successifs ≥ 2 pour tous les AD de l'entité juridique (FINESS EJ),

ET

• Si l'EJ à plusieurs entités géographiques (FINESS EG),

- Score des 2 derniers audits successifs ≥ 2 pour tous les AD d'au moins 2 établissements (FINESS EG) pour un nombre d'établissements représentant au moins 66% de l'Activité combinée de l'entité juridique.

NB : Une entité géographique (EG) est considérée « à la cible » à condition que l'ensemble de ses infrastructures AD ait un score ≥ 2.

NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit ADS réalisé devra dater d'un mois maximum.

• 2 derniers rapports des audits ADS pour l'ensemble des AD du candidat.

D1.O2.A

Réaliser régulièrement des audits de l'exposition internet

Un audit d'exposition internet doit être réalisé tous les deux mois durant la phase opérationnelle.

Phase opérationnelle : phase comprise entre :

• La validation de la candidature d'un établissement par son ARS (sur le guichet dédié),

• Le dépôt de la déclaration d'atteinte des objectifs par l'établissement sur le guichet dédié.

Pour réaliser cet audit, il est possible de solliciter :

• Le service SILENE (ANSSI),

• Une plateforme d'audit industrielle chargée de produire les rapports conclusifs (D1.O2.B). Cette plateforme respectera le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé) qui décrit les attendus de cet audit en termes d'éléments contrôlés et de de modalités de restitution des résultats.

• Liste des Domaines exposés,

• Liste des adresses IP publiques,

• Rapports d'audit d'exposition internet réalisés.

D1.O2.B

Atteindre un niveau de sécurisation minimum de son exposition sur internet

Pour les GHT, les établissements publics hors GHT et les établissements privés :

Absence de vulnérabilités et de risques de niveau critique sur les 2 derniers audits successifs d'exposition internet sur l'ensemble du périmètre.

NB 1 : Ces deux derniers audits devront impérativement être réalisés par une plateforme d'audit industrielle respectant le cahier des charges mis à disposition par l'Agence du Numérique en Santé (CERT Santé),

NB 2 : Au moment de la déclaration d'atteinte des objectifs sur le guichet dédié, le dernier audit réalisé devra dater d'un mois maximum.

• Deux derniers rapports d'audit d'exposition internet (démontrant l'absence de vulnérabilité critique (CVSS supérieur à 9.0) et des risques de niveau critique et l'application des correctifs de sécurité associés).

D1.O3

Se préparer au risque cyber

Un premier exercice de crise cyber a été réalisé au sein de tous les établissements du candidat (au sens FINESS PMSI) en 2023 ou 2024.

• Rapport de réalisation de l'exercice sur la base du modèle fourni dans les kits ANS ou une attestation de réalisation par le prestataire, l'ARS ou le GRADeS.

D1.O4

S'auto-évaluer en matière de maturité vis-à-vis des risques cyber

100 % des établissements du candidat (au sens FINESS PMSI) ont renseigné l'oSIS sur les champs suivants :

• Part du budget numérique dans le budget global de l'ES,

• 43 mesures prioritaires.

• Aucune.

D1.O5

Calculer le budget dédié au numérique

Calculer la part du budget dédiée au numérique dans le budget général des établissements du candidat (au sens FINESS PMSI) et le nombre d'ETP dédié à la SSI (ces ETP incluent les ressources de la DSI ainsi que le RSSI).

• Aucune.

D1.O6.A

(Spécifique GHT)

Piloter au niveau du GHT la réponse au programme et le suivi de l'atteinte des objectifs

Le GHT doit :

• Désigner un référent du projet, nommé par le directeur de l'établissement support de GHT, dont le rôle sera de :

- Suivre la bonne réalisation des audits AD et d'exposition internet,

- Veiller à la bonne exécution de l'exercice de gestion de crise,

- Veiller au bon remplissage de l'oSIS dont notamment la part du numérique dans le budget.

• Mettre en place une équipe opérationnelle unique pour la gestion des AD au niveau du GHT en charge de la réalisation des audits et des actions de remédiation associées,

• Mettre en place la gouvernance transverse du projet CaRE l'ensemble du GHT, assurant notamment la coordination du référent, de la DSI, du RSSI et de l'équipe opérationnelle.

• Constitution de l'équipe projet,

• Schéma de le gouvernance mise en place.

D1.O6.B

(Spécifique GHT)

Formaliser la stratégie du GHT en matière de convergence des AD

Le GHT doit formaliser, présenter et faire valider par le comité stratégique du GHT :

• Un document précisant les modalités de convergence de l'infrastructure AD du GHT,

• Ce document est élaboré au niveau du GHT et validé par la Direction générale de l'établissement support du GHT et la DSI de l'établissement support du GHT,

• Ce document comprend un planning projet prévoyant une trajectoire de convergence de l'infrastructure AD à une échéance maximale de 18 mois post appel à financement D1, les modalités organisationnelles devant être mises en œuvre (existence d'un responsable et mutualisation des équipes SI dédiées à ces sujets) et le budget prévisionnel nécessaire au projet.

• Trajectoire de convergence des AD qui adresse l'ensemble des établissements du GHT.