Article ANNEXE 1
Il n'a pas de valeur légale et peut contenir des erreurs.
Prérequis & objectifs pour la stratégie de continuité
PRÉREQUIS, OBJECTIFS ET PREUVES D'ATTEINTE DES OBJECTIFS
|Historique du document - Suivi des modifications apportées| | | | |----------------------------------------------------------|----------|-------------------|----------------------------| | Version | Date | Auteur |Commentaires / modifications| | V1 |26/06/2025|Direction programme| | | | | | | | | | | |
Les prérequis et objectifs fixés dans le cadre de ce domaine doivent être traités, sauf mention contraire, par :
- tous les établissements parties du Groupement hospitalier de territoire (GHT) ;
- entité juridique (EJ), pour les candidats hors GHT.
La mention candidat, constitue une mention générique qui traite les deux cas précités de candidats GHT et hors GHT.
| Identifiant | Libellé | Cible domaine " Stratégie de continuité
et de reprise d'activité " | Liste des pièces à fournir |
|----------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| PREREQUIS | | | |
| D2.P1 | Disposer d'une Politique de Sécurité des Systèmes d'Information (PSSI) formalisée et à jour | Le candidat doit fournir sa politique de sécurité des systèmes d'information (PSSI).
Ce document doit être validé et revu dans les 36 mois précédant la date de publication de l'arrêté. | Document présentant la PSSI, validé et revu dans les 36 mois précédant la date de publication de l'arrêté. |
| D2.P2 |Décrire l'organisation prévue pour la mise en œuvre du Plan de Continuité et de Reprise d'Activité| Le candidat doit décrire l'organisation projet mise en place pour assurer la construction et le maintien dans le temps de son plan de continuité et de reprise d'activité.
L'écriture des plans de continuité et de reprise d'activité est exigée dans le cadre de l'objectif D2.O1 du présent domaine, et le candidat doit donc démontrer qu'il a prévu l'organisation permettant d'atteindre cet objectif.
La désignation d'un responsable du plan de continuité et de reprise de l'activité (RPCRA) est recommandée dans cette organisation, mais elle n'est pas obligatoire pour l'atteinte de ce prérequis. | Document décrivant l'organisation projet avec la constitution de l'équipe projet et d'une gouvernance du projet. |
| OBJECTIFS | | | |
| D2.O1 : Inclure la gestion de la Continuité et Reprise d'activité dans la gouvernance des établissements | | | |
| D2.O1.A | Mettre en place une gouvernance pour la Continuité et la Reprise d'Activité | Le candidat doit élaborer un schéma de gouvernance décrivant la démarche mise en place pour la continuité et la reprise d'activité. | - Schéma de gouvernance pour la continuité et la reprise d'activité
- Compte-rendu d'une instance de direction du candidat où le schéma de gouvernance a été présenté et validé. |
| D2.O1.B | Décrire les procédures de réponse à la gestion de crise cyber | Le candidat doit :
• Intégrer les risques numériques dans le plan blanc.
• Formaliser ou revoir les procédures de crise cyber, incluant l'organisation de la cellule de crise et les modalités de signalement. | - Plan blanc (ou extrait du plan blanc) du candidat intégrant les modalités de gestion des risques numériques et décrivant notamment l'organisation de la/les cellules de crise.
- Procédure décrivant les modalités de signalement (montante et descendante) en place. |
| D2.O1.C | Formaliser un plan de continuité d'activité (PCA) et un plan de reprise d'activité (PRA) | Le candidat doit formaliser un Plan de Continuité et de Reprise d'Activité (PCRA) en s'appuyant sur la réalisation de bilans d'impacts sur l'activité, a minima sur les périmètres suivants s'ils existent au sein de la structure du candidat :
- Un service de soins ayant un impact majeur sur la prise en charge du patient.
- Le processus administratif le plus critique pour l'établissement (exemples paie, comptabilité, gestion des fournisseurs, etc.).
- Plateau technique en lien avec le parcours de soins tel que la pharmacie, l'imagerie, la biologie.
Pour les GHT avec plusieurs entités juridiques (FINESS EJ) :
- Les BIA et les PCRA doivent être formalisés pour un nombre d'EJ représentant au moins 66% de l'activité combinée du candidat.
Pour les candidats hors GHT ayant plusieurs entités géographiques (FINESS EG) :
- Les BIA et les PCRA doivent être formalisés pour un nombre d'EG représentant au moins 66% de l'activité combinée du candidat. | - Bilans d'impacts sur l'activité - BIA par établissement (Autant de BIA que de périmètres a minima) [si la méthodologie utilisée se base sur ce type d'outils]
- Document énumérant les activités critiques sur les périmètres a minima de chaque établissement.
- Plans de Continuité d'Activité/Plans de Reprise d'Activité sur les activités critiques identifiées pour chaque candidat. |
| D2.O1.D | Tester la mise en œuvre d'un Plan de Continuité d'Activité (PCA) dans un exercice terrain |Le candidat doit :
- Effectuer un test pour la mise en œuvre d'au moins un PCA sur un périmètre défini par le candidat (*) dans le cadre d'un exercice terrain adapté pendant la phase opérationnelle (**).
- Etablir un planning de test des autres exercices de PCA.
Pour les GHT avec plusieurs entités juridiques (FINESS EJ) :
- Le test de PCA doit être réalisé pour un nombre d'EJ représentant au moins 66% de l'activité combinée du candidat.
Pour les candidats hors GHT ayant plusieurs entités géographiques (FINESS EG) :
- Le test de PCA doit être réalisé pour un nombre d'EG représentant au moins 66% de l'activité combinée du candidat.
(*) En fonction de ses priorités et de sa capacité opérationnelle avec a minima un service / périmètre testé.
(**) Phase opérationnelle : phase comprise entre :
• La publication de l'arrêté relatif à la fonction " Stratégie de continuité et de reprise d'activité "
• Le dépôt de la déclaration d'atteinte des objectifs par le candidat sur le guichet dédié.| - PCA utilisé dans le cadre de l'exercice sur une des activités critiques (sauf si celui-ci a déjà été fourni dans l'objectif O1.C).
- Scénario de test d'un PCA.
- RETEX se basant sur le rapport à la suite de l'exercice et incluant un plan d'amélioration du PCA. |
|D2.O2 : Définir, documenter et tenir à jour la politique et le(s) plan(s) de sauvegarde et de restauration| | | |
| D2.O2.A | Définir une politique de sauvegarde et de restauration et la maintenir à jour | Le candidat doit fournir sa politique de sauvegarde et de restauration validée et mise à jour dans les 36 mois précédant la date de publication de l'arrêté.
La Politique de sauvegarde et de restauration doit également pouvoir s'appliquer aux prestations externalisées et aux applications gérées en mode SaaS par le biais de clauses contractuelles avec le prestataire. | Politique de sauvegarde et de restauration validée et à jour dans les 36 mois précédant la date de publication de l'arrêté. |
| D2.O2.B | Formaliser un/des plan(s) de sauvegarde et de restauration et le(s) maintenir à jour | Le candidat doit fournir les plans de sauvegarde de ses systèmes d'information critiques, tels qu'identifiés dans le sous-objectif D2.O1.C, ainsi que les procédures de leur mise à jour. | Plan(s) de sauvegarde et la procédure de leur mise à jour pour tous les éléments (*) des SI critiques (tels que identifiés dans le sous-objectif D2.O1.C).
(*) Eléments : Bases de données, serveurs, serveurs de fichiers |
| D2.O3 : Construire un système de sauvegarde sécurisé | | | |
| D2.O3.A | Mettre en œuvre une authentification sécurisée pour les infrastructures de sauvegarde | Le candidat doit disposer d'un système d'authentification indépendant (AD dédié, comptes locaux, …) pour ses infrastructures de sauvegarde.
Le candidat doit s'assurer :
- D'une gestion fine des rôles pour l'accès à la sauvegarde, avec un rôle minimisé au strict nécessaire pour l'opérateur de sauvegarde.
- De l'utilisation d'une authentification à double facteurs si la solution de sauvegarde le permet.
En cas d'un système d'authentification de la sauvegarde porté par un Active Directory indépendant, un audit ADS (réalisé par l'ANSSI) doit être réalisé sur l'AD utilisé pour l'administration de la sauvegarde durant la phase opérationnelle et un score minimum de 3 doit être obtenu à la fin de la période opérationnelle. |- Document décrivant le rôle de l'opérateur de sauvegarde et de l'administrateur.
- Document décrivant la gestion des rôles pour l'accès à la sauvegarde.
- Selon la gestion de l'authentification à double facteur, le candidat doit fournir un des documents suivants :
- Si l'interface d'administration permet une authentification forte, un document décrivant la mise en œuvre de l'authentification (procédure, impressions d'écran).
- Si l'interface d'administration permet une authentification forte mais qu'elle n'est pas activée, un document justificatif des raisons de sa non mise en œuvre.
- Si l'interface d'administration ne permet pas une authentification forte, document précisant le nom de la solution de sauvegarde et sa version.
Cas d'un établissement disposant d'un AD indépendant dédié à l'administration de la sauvegarde :
- Score audit ORADAD supérieur ou égal à 3 réalisé dans les 60 jours précédant le dépôt de la déclaration d'atteinte des cibles.|
| D2.O3.B | S'inscrire dans une trajectoire pour un cloisonnement de son infrastructure de sauvegarde | Le candidat doit s'inscrire dans une démarche visant à cloisonner les infrastructures de sauvegarde au sein du système d'information et disposer d'une capacité technique d'isolation en cas d'incident (mode " bouton rouge "). | - Schéma technique et fonctionnel d'architecture actuel ou cible détaillant la matrice des flux techniques.
- Pour les établissements s'inscrivant dans la démarche, un planning prévisionnel pour atteindre ce schéma cible, dans un délai inférieur à trois ans dans un souci de mise en conformité avec la directive NIS2.
- Procédure permettant l'isolation ou l'arrêt des serveurs de sauvegarde en cas d'incident en preuve. |
| D2.O3.C | S'inscrire dans une trajectoire pour la mise en œuvre du 3-2-1 | Le candidat doit s'inscrire dans une démarche pour la mise en œuvre du 3-2-1 (*) avec une trajectoire définie et des jalons clés.
Cette démarche vise à mettre en place une copie immuable de ses sauvegardes hors ligne ou hors site (dans deux bâtiments distincts, si applicable par l'établissement, chez un hébergeur tiers, etc.).
(*) Définition disponible dans le glossaire en annexe du guide des prérequis et objectifs disponible sur le site ANS du Programme CaRE | - Schéma technique et fonctionnel d'architecture actuel ou cible détaillant la matrice des flux techniques (seuls les flux strictement nécessaires doivent circuler).
- Pour les établissements s'inscrivant dans la démarche, un schéma directeur / trajectoire ou schéma technique et fonctionnel d'architecture cible vers une mise en place du 3-2-1 avec les principaux jalons identifiés. |
| D2.O3.D | Mettre en place une supervision des sauvegardes | Le candidat doit instaurer et documenter une organisation pour assurer le suivi efficace des sauvegardes, incluant un plan d'actions pour vérifier leur bonne exécution et des procédures à suivre en cas d'échec.
Spécificités pour les GHT :
• Le GHT, conformément à sa feuille de route décrite dans l'objectif D2.O2.A, doit mettre en place une gouvernance de contrôle, centraliser les alertes et permettre au RSSI d'effectuer les contrôles nécessaires.
• Le GHT doit avoir une procédure formalisée pour traiter les alertes non résolues par un ou plusieurs établissements. | - Exemple d'états produits ou générés par les solutions de sauvegarde / tableaux de bord produits par les outils de sauvegarde (extraction de l'outil, impressions d'écran, etc.).
- Procédures associées pour le contrôle des incidents de sauvegarde et le plan de traitement des alertes telles que décrites dans la politique de sauvegarde.
Spécificités pour les GHT :
- Document décrivant la gouvernance de contrôle de la réalisation des sauvegardes. |
| D2.O4 : Tester la sauvegarde et la restauration | | | |
| D2.O4 | Tester la sauvegarde et la restauration | Le candidat doit :
- Réaliser au moins un test technique de bon fonctionnement des sauvegardes et de remise en production des restaurations dans le système pendant la phase opérationnelle sur un périmètre d'un SI concourant à une des activités identifiées dans le cadre de l'objectif D2.O1.C.
- Identifier au minimum un référent ou correspondant métier en prévision de la réalisation des tests fonctionnels sur les applications métiers critiques telles qu'identifiées dans le sous-objectif D2.O1.C. | - Document précisant le périmètre des tests.
- Cahier de tests de l'opération de restauration
- Identification (non nominative) des référents ou correspondants métiers pour la réalisation des tests sur les applications métiers sur les systèmes critiques (tels que identifiés dans le sous-objectif D2.O1.C). |
Des éléments plus détaillés, tels que les indicateurs et la liste des éléments devant figurer dans les pièces justificatives ainsi que les documents demandés dans un contexte d'externalisation sont définis dans le " guide des prérequis et objectifs " disponible sur la page ANS du Programme CaRE.
1 version