Lancement d’un appel à projet visant le financement d’un exercice de continuité d’activité au profit des établissements sanitaires

Appel à projets / candidatures / manifestation d'intérêt
Autre

En cours

Dans le cadre de la feuille de route du numérique en santé et au regard des récents évènements cyber, il est attendu des établissements sanitaires franciliens qu’ils réalisent chaque année un exercice de continuité d’activité en mode numérique dégradé.

Contexte de l'appel

Entre 2020 et 2022 on a recensé un nombre croissant de cyberattaques : à titre d’exemple, en 2021, le CERT Santé (Computer Emergency Response Team Santé) a géré plus de 733 déclarations d’incident, soit plus du double par rapport à 2020. 

Les établissements sanitaires au même titre que toute autre organisation doivent être en capacité d’anticiper la survenance de cyberattaques pour limiter leur impact et continuer du mieux possible à exercer leurs missions.

Objectifs

L'exercice à réaliser est un exercice de continuité d'activité dont l'élément déclencheur est un incident cyber sécurité. A ce titre, il doit permettre d'évaluer la capacité de l'établissement à poursuivre son activité de prise en charge des patients dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impliquer la direction générale et les directions métiers de l'établissement.

Des kits « exercices de crise cyber sécurité » prêts à l’emploi et autoporteurs ont été élaborés. Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en termes de cyber sécurité :

  • Kit débutant
  • Kit intermédiaire
  • Kit expert

Ils sont disponibles sur le site cyberveille-santé.  

Afin de choisir le kit adapté, le niveau de maturité cybersécurité de l’établissement doit être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.

Afin que les établissements puissent être accompagnés dans cette démarche, l’ARS allouera une subvention forfaitaire de 4000 euros maximum, aux structures qui réaliseront un exercice de continuité d’activité en 2023. Celle-ci permettra de couvrir partiellement le coût de l’accompagnement par un prestataire référencé.

Calendrier

Les candidatures peuvent être déposées dans un délai de 6 mois à compter de l’ouverture de l’appel à projets, soit jusqu’au 15 juin 2023.

Les exercices devront être réalisés le plus rapidement possible et au maximum d’ici la fin d’année 2023.

Conditions de candidature

Les candidats sont invités à renseigner les éléments demandés concernant leur établissement à partir du lien suivant :

Tous les établissements sanitaires franciliens sont éligibles à condition qu’ils réalisent les étapes suivantes :

Renseigner la grille d’autoévaluation de la maturité en matière de cyber sécurité (niveau 1, 2 ou 3) ;

En fonction du résultat, si besoin d’accompagnement pour réaliser l’exercice, passer une commande d’accompagnement auprès de la Centrale d’achat de l’informatique hospitalière (CAIH) (adhésion à prévoir), du GRADeS SESAN (adhésion à prévoir) ou autre et joindre le bon de commande ;

si cela n’a pas été fait, mettre à jour l’Observatoire Permanent de la Sécurité des Systèmes d’Information des Établissements de Santé (OPSSIES) dans les 3 mois précédant la candidature ;