L’appel à manifestation d’intérêt est présenté en 2 volets :
- Un premier volet administratif
- Un deuxième volet concernant la réalisation d’exercice de continuité d’activité
L’appel à manifestation d’intérêt prendra fin le 14 avril 2023.
Dans le cadre de la feuille de route du numérique en santé et au regard des récents évènements cyber, il est attendu des établissements sanitaires qu’ils réalisent chaque année un exercice de continuité d’activité en mode numérique dégradé.
L'exercice à réaliser est un exercice de continuité d'activité dont l'élément déclencheur est un incident cybersécurité. A ce titre, il doit permettre d'évaluer la capacité de l'établissement à poursuivre son activité de prise en charge des patients dans un mode numérique dégradé. En conséquence, au-delà de la DSI, cet exercice doit impérativement impliquer la direction générale et les directions métiers de l'établissement.
Afin que les établissements puissent être accompagnés dans cette démarche, l’ARS Bretagne allouera une subvention forfaitaire aux structures qui réaliseront un exercice de continuité d’activité en 2023. Celle-ci permettra de couvrir partiellement le coût de l’accompagnement par un prestataire référencé.
Des kits « exercices de crise cybersécurité » prêts à l’emploi et autoporteurs ont été élaborés afin de faciliter l’organisation de ces exercices.
Trois niveaux de kits sont proposés en fonction du niveau de maturité de l’établissement en terme de cybersécurité :
- Kit débutant
- Kit intermédiaire
- Kit expert
Ces kits sont disponibles sur le site cyberveille-santé.
Afin de choisir le kit adapté, le niveau de maturité cybersécurité de l’établissement doit être évalué grâce à la grille d’auto-évaluation également disponible sur le site cyberveille santé.
L’exercice doit permettre de vérifier :
• l’existence de procédures (alerte, signalement des incidents, escalade, continuité d’activité) ;
• leur connaissance par les personnes concernées et leur capacité de réaction ;
• et leur efficacité.
Il doit également être l’occasion d’identifier les points positifs, et surtout de déceler les axes d’amélioration propres à chaque établissement. Il s’agit donc d’un outil permettant à chacun de progresser, et doit être perçu comme tel.
Pour qu’il soit réussi, il est indispensable que l’exercice soit porté par la direction de l’établissement.
A qui s'adresse cet appel à projet ?
L’appel à projet s’adresse à tous les établissements sanitaires de Bretagne (avec une priorisation des OSE, établissements MCO et établissements à forte activité combinée), qu’ils aient déjà réalisé ou non un exercice de continuité d’activité en mode dégradé. L’objectif est qu’un grand nombre d’établissements sanitaires ait réalisé un exercice d’ici fin mai 2023.
Les étapes de candidature sont les suivantes :
● Renseigner la grille d’autoévaluation de la maturité en matière de cyber sécurité (niveau 1, 2 ou 3) ;
● Si besoin d’accompagnement pour réaliser l’exercice, passer une commande d’accompagnement auprès d’un prestataire et joindre le bon de commande lors du renseignement du formulaire de candidature ;
● Renseigner l’Observatoire Permanent de la Sécurité des Systèmes d’Information des Établissements de Santé (OPSSIES) : https://osis.atih.sante.fr/ ;
● Renseigner le formulaire de candidature sur démarches simplifiées avec toutes les informations demandées, y compris la grille d’autoévaluation et la date de mise à jour de l’observatoire (moins de 3 mois) : https://www.demarches-simplifiees.fr/commencer/ami-exercice-crise-bretagne
Les instructions des candidatures auront lieu au fil de l’eau et donneront lieu à la production d’une convention de financement liant l’ES à l’ARS Bretagne.
Il est prévu le financement d’une allocation forfaitaire de 3 500 euros par établissement. Il s’agira pour l’établissement de transmettre dès la candidature le bon de commande de la prestation, puis la justification du service fait (facture) qui déclenchera le paiement de l’ARS Bretagne. Ainsi, le paiement sera effectué dès lors que l’exercice aura été réalisé.
Les candidatures peuvent être déposées jusqu’au 14 avril 2023.
Les exercices devront être réalisés le plus rapidement possible et au plus tard d’ici la fin d’année 2023.
Pour toute question, nous vous invitons à contacter lionel.lecomte@ars.sante.fr