Sécurité des systèmes d'information de santé

L’objectif du présent appel à projets est d’améliorer le niveau de maturité de l’établissement face aux menaces de cybersécurité, et de réduire leurs vulnérabilités.

CONTEXTE-PLAN D'ACTIONS SSI

Les incidents liés à la sécurité des systèmes d’information (SSI) se sont multipliés et touchent particulièrement le secteur de la santé. La sécurité des systèmes d’information et le traitement des incidents sont devenus une priorité pour les pouvoirs publics.

Face à la recrudescence des malveillances informatiques et des surfaces d’attaque pesant sur des systèmes d’information, souvent, insuffisamment protégés, l’ARS Guyane lance un plan d’accompagnement des acteurs de santé pour une mise en conformité de leurs systèmes d’information selon les recommandations et règlementations nationales, à savoir :

• La politique de sécurité des systèmes d’information de santé (PGSSI-S) dont certains référentiels sont opposables depuis 2017
• l’instruction N°SG/DSSIS/2016/309 du 14 octobre 2016 relative à la mise en œuvre du plan d’action sur la sécurité des systèmes d’information
• Instruction HOP'EN de la DGOS N°DGOS/PF5/2019/32
• Action 9 MA SANTE 2022: Renforcement de la sécurité opérationnelle des systèmes numériques en santé pour garantir la confiance dans la e-santé
• Action 21 MA SANTE 2022: Elaboration d'un dispositif de certification des systèmes d'information hospitalier et d'une déclinaison pour les systèmes d'information médico-sociaux
• plus récemment, le MARS n°2021_28 du 6 avril 2021 destinés aux établissements de santé recensait un ensemble d’actions urgentes pour se prémunir des cyberattaques.

ÉLIGIBILITÉ

Les candidats éligibles sont :

• les établissements sanitaires
• les établissements médico-sociaux
• les laboratoires de biologie médicale
• les cabinets de radiologie
• les pharmacies
• les structures d’exercice coordonné (MSP, ESP, cabinets regroupant plusieurs professionnels de santé)
• les réseaux de santé

Des initiatives mutualisées ou groupées entre acteurs de santé sont également éligibles à cet appel à projet.

PÉRIMETRE DE L'APPEL A PROJETS

L’appel à projets est organisé selon 2 phases :

• un audit de sécurité SI
• un accompagnement à la mise en œuvre des actions prioritaires pour le renforcement de la sécurité SI

Phase 1 : Audit de sécurité SI

Prérequis : un référent interne à la structure pour accompagner l’audit

Objectif : cet audit a pour objectif d’identifier les vulnérabilités du système d’information (infrastructure, organisation, technique) ainsi que d’évaluer la conformité de l’établissement au RGPD. Il est opéré par un prestataire homologué qui sera sélectionné et contractualisé par le GCS GUYASIS.

Livrable : le porteur répondant à cette priorité 1 s’engage à planifier l’audit de sécurité dans un délai d’1 mois et à transmettre les résultats au GCS GUYASIS et à l’ARS Guyane.

Phase 2 : Accompagnement à l’investissement SSI

Prérequis :

• le porteur de projet a une gouvernance identifiée et opérationnelle autour de la cybersécurité : référent cybersécurité nommé,
• le porteur de projet a nommé un référent RGPD/DPO au sein de sa structure
• existence d’une commission décisionnelle interne à l’établissement sur la protection des données
• le porteur a effectué un audit de cybersécurité au sein de son établissement et les résultats sont transmis au GCS GUYASIS et à l’ARS Guyane (résultats de la phase 1)

Si le porteur a déjà réalisé un audit SSI datant de moins d’un an au sein de sa structure, il peut se positionner sur la phase 2 de l’appel à projets sous condition de transmission des résultats de cet audit et du plan d’actions associé et mis à jour.

Pour l’accompagnement à l’investissement, sont éligibles les projets suivants et par ordre de priorité :

Priorité forte :

• La mise en place de sauvegarde externalisée et déconnectée accompagnée d’un plan de vérification et d’une documentation pour son exploitation.
• Accompagnement à la mise en condition de sécurité (mise à jour des failles de sécurité et antivirus) sur les contrôleurs de domaine, les serveurs critiques et autres, les postes des administrateurs et les postes utilisateurs, bloc d’accès (ensemble des dispositifs qui visent à sécuriser les échanges entre internet et le réseau interne). Cette mise en condition de sécurité doit être accompagnée d’une documentation ou procédure d’exploitation des outils.
• La mise en place de VPN pour les accès distants, avec alertes sur les connexions. Cette mise en place de VPN doit être accompagnée d’une documentation ou procédure d’exploitation.
• La mise en place d’un proxy sortant limitant ainsi la prise en main du SI par un attaquant externe. Cette mise en place du proxy sortant doit être accompagnée d’une documentation ou procédure d’exploitation.

Priorité moyenne :

• Accompagnement à l’organisation de la cybersécurité :
• Elaboration d’une analyse des risques SI de la structure avec une définition du plan d’actions associé validé par la commission décisionnelle interne cybersécurité de l’établissement.
• Mise en place du registre de traitement et procédures de mise à jour.
• Elaboration des procédures et documentation du SI (schéma d’architecture, procédures d’exploitation, documentation des prestataires, documentation paramétrage, charte….).
• Mise en place d’outils de protection du réseau :
• Séparation du wifi, des réseaux professionnels et des réseaux invités.
• Cloisonnement des réseaux d’administration et d’exploitation.
• Mise en place d’une station blanche de décontamination USB.
• Mise en place d’outils de cyber-surveillance et d’alerte

DATES DE L' APPEL A PROJETS

L’appel à projets est ouvert du 8 juillet au 31 octobre 2021

DOSSIER DE CANDIDATURES

Le porteur du projet devra transmettre par la plateforme sécurisée démarches simplifiées :

Phase 1 :

• Le nom, prénom, mail et téléphone du référent interne à l’établissement.
• Engagement du représentant de l’établissement à planifier l’audit dans un délai d’1 mois suivant le dépôt du dossier.

Phase 2 :

• Le nom, prénom, contacts du référent cybersécurité et RGDP ou DPO (Data Provacy Officer) de l’établissement.
• La précision sur la mise en place d’une commission interne décisionnelle liée à la cybersécurité (note descriptive de l’organisation indiquant le référent cybersécurité, les missions de la commission interne, la fréquence de rencontre…).
• Le rapport de l’audit SSI.
• Une description du ou des projets à accompagner dans le cadre de l’appel à projet avec une priorisation des projets – le ou les projets doivent être en lien avec les résultats de l’audit effectué en phase 1. Cette description indiquera :
• Les objectifs et enjeux du projet
• Le planning de mise en œuvre
• Le budget du projet
• Les ressources mobilisées
• Les indicateurs de résultats attendus
• Des devis détaillés pour la ou les prestations souhaitées précisant les coûts d’investissement ou de prestation
• Engagement du directeur de l'établissement à mettre en oeuvre les projets dans les 12 mois suivant la notification de la sélection du dossier.

Pour la phase 2 du projet, il est fortement conseillé au porteur du projet de se rapprocher du GCS GUYASIS ([eguigne@gcsguyasis.fr](mailto:eguigne@gcsguyasis.fr)) ou du RSSI GHT ([jean-michel.valier@ch-cayenne.fr](mailto:jean-michel.valier@ch-cayenne.fr)) pour un accompagnement à l’élaboration de la réponse à l’AAP ainsi que pour une éventuelle mutualisation des prestations d’accompagnement ou d’acquisition.

FINANCEMENT

L’enveloppe financière régionale allouée pour cet appel à projets (phase 2) s’élève à 750 000€.

Le financement sera attribué de la manière suivante :

• Phase 1 : prise en charge par le GCS GUYASIS
• Phase 2 : 80% en amorçage et 20% à la réalisation des actions précisées par le porteur du projet

Une convention entre le GCS GUYASIS, l’ARS Guyane et l’établissement sera élaborée. Ce dernier sera soumis à un contrôle sur la mise en œuvre des actions.

Pour la phase 2, le montant maximal accordé à chaque porteur est fixé à 150 000€. Un réajustement pourra être effectué à la fin de l’appel à projets selon les reliquats.

Sont éligibles au financement :

• Les projets d’investissement (achat de matériel, de licences…)
• Les projets de prestation de service (AMOA, déploiement…)
• Les 12 mois d’utilisation des services et les frais d’initialisation pour les investissements en mode SaS (modèle de location mensuelle ou à l’usage des services numériques).

Ne sont pas éligibles au financement :

• les coûts liés aux ressources humaines internes à l’établissement

Les structures bénéficiant d’autres financements (DGOS, CNSA, ARS ou autres) pour des projets éligibles à cet appel à projet doivent le mentionner dans la note projet en précisant les co-financements.

MODALITÉS DE DEPOT DU DOSSIER DE CANDIDATURES

Les candidats devront formaliser leur réponse en utilisant la plateforme démarches simplifiées.

Plateforme pour la phase 1 (audit)

Plateforme pour la phase 2 (investissement)