Cybersécurité accélération et Résilience des Etablissements
En lien avec la feuille de route du numérique en santé, le programme CaRE représente un plan massif pluriannuel (2023-2027), accompagné de financements ponctuels, annuels, ainsi que d’une offre de services visant à coordonner l’offre de services nationale et régionale.
Les quatre grands axes du plan d'action CaRE
Identification des vecteurs principaux
L'exposition sur Internet est l'un des vecteurs principaux de pénétration par les attaquants dans le système d'information des établissements de santé.
L’Annuaire Technique est le principal moyen de propagation, par lequel les attaquants obtiennent des privilèges élevés, leur permettant d’infliger plus de dégâts.
Présentation du domaine 1 :
But : Financer un premier niveau de remédiation et de contrôle régulier concernant l’exposition internet et la configuration des annuaires.
Objectifs :
1. Maîtrise de l’annuaire d’établissement :
- Réaliser régulièrement des audits de tous les AD (Active Directory) ;
- Atteindre un niveau de sécurisation minimum des AD (Active Directory).
2. Maîtriser l’exposition internet :
- Réaliser régulièrement des audits de l'exposition internet ;
- Atteindre un niveau de sécurisation minimum de son exposition sur internet.
3. Se préparer au risque cyber en réalisant un exercice de crise cyber ;
4. S’auto évaluer en matière de maturité vis-à-vis des risques cyber en remplissant tous les volets de l'oSIS ;
5. Prévoir un budget dédié au numérique ;
6. Renforcer la convergence des GHT(spécifique ES publics) :
- Piloter au niveau du GHT la réponse au programme et le suivi de l'atteinte des objectifs ;
- Formaliser la stratégie du GHT en matière de convergence des AD.
Critères d'éligibilité pour candidater
- Vous êtes un GHT ?
Candidature unique portée par l'ES support pour l'ensemble des entités juridiques (EJ) du GHT.
- Vous êtes un ES public hors GHT ?
Candidature unique portée par l'entité juridique (EJ) pour l'ensemble de ses ES-géographiques (EG).
- Vous êtes un ES privé (EBNL et lucratif) ?
Candidature unique portée par l'entité juridique (EJ) pour l'ensemble de ses ES-géographiques (EG).
Présentation des prérequis pour candidater
Prérequis pour candidater
1. Atteindre les deux prérequis liés à la sécurité des systèmes d'information prévus par le programme SUN-ES :
- Prérequis PS2.1 - Présence d'une politique de sécurité et plan d'action SSI réalisé, existence d'un responsable sécurité.
- Prérequis PS2.2 - Cybersécurité : réalisation d'un audit externe de cybersurveillance.
- Vous êtes un GHT ?
Prérequis SUN-ES pour :
- L'ES Support
- Les autres ES du GHT (dont l'activité combinée cumulée correspond à 90% de l'activité combinée du GHT).
- Vous êtes un ES public hors GHT ?
Prérequis SUN-ES pour :
- L'entité juridique candidate
- Vous êtes un ES privé (EBNL et lucratif) ?
Prérequis SUN-ES pour :
- Les EG composant l'EJ candidate dont l'activité combinée cumulée correspond à 90% de l'activité combinée de l'EJ)
2. Vous n'avez pas été candidat SUN-ES :
Réaliser un audit Cybersurveillance (CERT-Santé) ou un audit de cybersurveillance SUN-ES (industriel).
Liste des pièces à fournir
- Vous avez déjà validé les prérequis SUN-ES ?
Aucune pièce justificative à fournir
- Vous n'avez pas validé les prérequis / candidaté SUN-ES ?
- Document présentant la politique de sécurité des SI ;
- Procédure de remontée des incidents de la sécurité ;
- Organigramme incluant le RSSI ;
- Fourniture d'une attestation de la tenue d'au moins 2 rendez-vous annuels RSSI / Direction de l'établissement ;
- Fourniture d'une attestation de réalisation de l'audit de cybersurveillance (exposition sur internet) datant de moins de 2 ans.
Présentation du processus de candidature
Processus de candidature
- Dès maintenant :
- Réunir l'ensemble des pièces constitutives de votre dossier de candidature au financement ;
- Lancement des travaux nécessaires et possibles dès à présent pour se préparer à atteindre les objectifs (inscription, ANSSI, saisie OPSSIES...).
- 18 mars 2024 :
- Accès au guichet en ligne de candidature pour faire acte de candidature auprès de votre ARS et déposer les pièces nécessaires.
- Accès au guichet en ligne de candidature pour faire acte de candidature auprès de votre ARS et déposer les pièces nécessaires.
- 19 avril 2024 :
- Fermeture du guichet de dépôt des candidatures.
- Fermeture du guichet de dépôt des candidatures.
- Candidature validée par l'ARS :
- Signature d'une convention entre votre ES et l'ANS.
Pièces à fournir
- Éléments administratifs :
- Point de contact (DSI, RSSI, référent CaRE) ;
- Informations bancaires pour le paiement.
- Pièces justificatives pour les prérequis CaRE si prérequis SUN-ES non atteints.
Besoin d'un appui sur le domaine 1 du programme CaRE ?
Un formulaire est disponible pour nous contacter afin de nous demander un appui sur plusieurs thématiques :
Foire aux questions concernant le domaine 1 :
Ressources documentaires :
- Page CaRE de l'Agence du Numérique en Santé
- Guides des prérequis et objectifs Appel à Financement n°1
- Outil de vérification d'atteinte des prérequis
- Trame du bilan financier (déclaration d'atteinte des objectifs)
- Cahier des charges - Audits Exposition sur Internet
- Fiche de présentation ADs
- Fiche de présentation SILENE