Accompagnement à la certification

Accompagnement au programme Hospiconnect

NOTRE EXPERTISE

  • Diagnostic de maturité en identification électronique selon le référentiel ANS
  • Accompagnement au dépôt des dossiers de financement CaRE et HOP'EN 2
  • Mise en conformité au référentiel PGSSI-S (RIE v2) et aux exigences eIDAS substantiel
  • Intégration des briques IAM, SSO et fédération d'identités dans votre SI existant
  • Déploiement des Moyens d'Identification Électronique (MIE) conformes au référentiel
  • Accompagnement à l'intégration Pro Santé Connect et à l'annuaire eSanté
  • Aide rédactionnelle pour la note de cadrage et les indicateurs de maturité (jalon juin 2026)
  • Revue de vos processus internes pour intégration des exigences d'authentification forte

VOS BÉNÉFICES

  • Des consultants spécialisés dans les systèmes d'information hospitaliers et la cybersécurité
  • Une adaptation systématique à la taille, à l'architecture SI et au niveau de maturité de votre établissement
  • Un accès optimisé aux financements disponibles sur la durée du programme (2026-2028)
  • Un plan d'action concret pour respecter chaque jalon sans risquer de perdre vos enveloppes budgétaires
  • Une formation de vos équipes à la mise en œuvre et au maintien des dispositifs d'authentification forte
  • Une conformité étendue : RGPD, NIS2, certification HDS et programme CaRE traités de manière cohérente
  • Un accompagnement au changement auprès de vos professionnels de santé pour garantir l'adoption

gplexpert accompagne les établissements de santé dans l’ensemble de leur démarche HospiConnect : du diagnostic de maturité au déploiement de l’authentification forte, en passant par la mise en conformité PGSSI-S et l’accès aux financements CaRE et HOP’EN 2. Un accompagnement structuré, adapté à vos contraintes, pour sécuriser chaque jalon du programme.

Sommaire

Qu'est-ce que le programme HospiConnect et pourquoi est-il stratégique ?

En France, la multiplication des cyberattaques ciblant les hôpitaux a propulsé la sécurisation de l’identité numérique au rang de priorité nationale. Le programme HospiConnect constitue la déclinaison opérationnelle, pour le secteur hospitalier, de la trajectoire nationale et européenne de sécurisation de l’identification électronique pour l’accès aux données de santé.

Le référentiel PGSSI-S (RIE v2, publié en février 2026) de l’ANS définit les exigences d’identification électronique des professionnels de santé. Il impose un niveau de sécurité eIDAS substantiel, via Pro Santé Connect ou des schémas locaux attestés avant fin 2026, avec une levée des réserves attendue fin 2028.

Le périmètre est large. Il ne s’agit pas uniquement de sécuriser l’accès au Dossier Médical Partagé (DMP). HospiConnect couvre la gestion complète des identités (y compris pour les intervenants externes et d’urgence), la gestion des droits et accès locaux, et la mise en œuvre de l’authentification forte via des Moyens d’Identification Électronique (MIE) conformes au référentiel. Pour les établissements, cela signifie repenser globalement leur système d’information hospitalier.

Pour les DSI et directions d’établissement, HospiConnect n’est pas un guichet de subvention parmi d’autres. C’est un levier de transformation structurante du SI de santé, adossé à une enveloppe nationale de 87,2 millions d’euros répartis sur trois ans.

Les quatre exigences techniques à satisfaire

Le cadre HospiConnect définit quatre exigences techniques obligatoires. Chacune conditionne l’accès aux financements et s’inscrit dans un calendrier progressif.

  • Gestion des identités. L’identifiant RPPS des utilisateurs doit être connu du Dossier Patient Informatisé (DPI). Cette exigence est le point d’entrée du programme : sans elle, les étapes suivantes ne peuvent pas être atteintes.
  • Gestion des comptes. Les permissions d’accès au DPI doivent être mises à jour lors de chaque mouvement de personnel. Cette exigence implique une intégration entre votre brique IAM et vos processus RH : un chantier organisationnel autant que technique.
  • Authentification 2FA. Utilisation d’un Moyen d’Identification Électronique à double facteur pour l’accès au DPI, conforme au Référentiel d’Identification Électronique. Le choix du MIE dépend de la taille de votre structure et de votre architecture SI existante.
  • Accès au DMP via le DPI. Cette exigence peut être atteinte via le mode AIR simplifié (obligatoire pour la vague 2 du Ségur) ou via le support des APIs PSC. Elle conditionne l’accès effectif à Mon Espace Santé depuis vos logiciels métiers.

Les exigences de gestion des identités et des comptes requièrent la mise en place d’une brique IAM, avec une intégration à Pro Santé Identité et à l’annuaire eSanté. C’est un projet structurant qui implique des choix technologiques et organisationnels lourds et qui bénéficie d’un accompagnement expert pour éviter les erreurs coûteuses en temps et en budget.

Comprendre l'architecture financière : CaRE et HOP'EN 2

Deux dispositifs de financement complémentaires sont proposés via un guichet de candidature unique, mobilisables sur trois ans.

  • Le volet matériel : HospiConnect / CaRE

CaRE finance le déploiement des MIE physiques (lecteurs de cartes, cartes PSI) et les dispositifs de lecture associés. L’enveloppe est calculée sur la base de 20 € par agent déclaré au SAE, sans que ce montant constitue un plafond par agent. Les factures sont éligibles à partir du 29 janvier 2026, date de publication de l’arrêté relatif au programme. Les fonds sont mobilisables sur toute la durée du programme, sans contrainte d’année budgétaire stricte.

  • Le volet transformation : HospiConnect / HOP’EN 2

HOP’EN 2 finance la mise en œuvre des services (gestion des identités, SSO, fédération) avec une priorité donnée à l’accès au DMP. Les dépenses éligibles (licences, prestations) doivent être engagées à partir du 19 décembre 2025. À la différence de CaRE, l’enveloppe HOP’EN 2 est annuelle : un établissement qui ne mobilise pas son enveloppe 2026 perd ce budget définitivement.

Point de vigilance. Le jalon du 26 juin 2026 conditionne l’ensemble des financements 2026. La note de cadrage et les indicateurs de maturité doivent être déposés sur la plateforme Convergence avant cette date. Ne pas respecter ce jalon, c’est perdre une année d’enveloppe HOP’EN 2.

Échéance

Action requise

13 février 2026

Date limite d’inscription sur Convergence

Mai 2026

Ouverture du guichet HOP’EN 2 pour le dépôt des preuves

26 juin 2026

Dépôt de la note de cadrage et des indicateurs de maturité (jalon 1)

1er octobre 2026

Ouverture du guichet CaRE pour le dépôt des dépenses MIE

Second semestre 2026

API PSI en environnement de production

L’accompagnement gplexpert

Notre expertise repose sur une équipe de consultants spécialisés en systèmes d’information de santé, certifiés ISO 27001 Lead Implementer & Lead Auditor et formés aux référentiels ANS, PGSSI-S et programme CaRE. Nous intervenons auprès d’établissements de toutes tailles : CHU, centres hospitaliers, cliniques privées, ESMS. Avec une approche toujours adaptée à votre contexte et à votre niveau de maturité.

cybersécurité

Phase 1 — Diagnostic de maturité. Nous évaluons votre situation actuelle à partir du référentiel d’indicateurs de l’ANS : gestion des identités, des droits, des services numériques et de la gouvernance. Ce diagnostic produit une cartographie claire de vos écarts et une trajectoire réaliste vers les exigences du programme.

Phase 2 — Montage des dossiers de financement. Nous vous accompagnons dans la préparation et le dépôt des dossiers CaRE et HOP’EN 2 : note de cadrage, indicateurs de maturité, justificatifs de dépenses. Chaque jalon est anticipé pour éviter toute perte de financement.

Phase 3 — Conception de l’architecture technique. Nous définissons avec vos équipes l’architecture cible : choix du MIE adapté à votre structure, intégration IAM/SSO, fédération d’identités, compatibilité avec votre DPI et les APIs Pro Santé Connect. Notre infrastructure certifiée HDS et ISO 27001 constitue le socle technique sur lequel reposent ces briques.

Phase 4 — Déploiement et intégration. Nous pilotons la mise en œuvre technique et organisationnelle : déploiement des MIE, intégration à Pro Santé Identité et à l’annuaire eSanté, configuration du SSO, tests de conformité. Nos services managés SOC/NOC assurent la supervision continue du dispositif une fois en production.

Phase 5 — Accompagnement au changement et formation. L’authentification forte modifie les habitudes quotidiennes de vos professionnels de santé. Nous formons vos équipes et structurons la conduite du changement pour garantir l’adoption, sans freiner la continuité des soins. Notre certification Qualiopi atteste de la qualité de nos formations.

Notre accompagnement HospiConnect ne se limite pas à la conformité documentaire. Nous intervenons main dans la main avec vos équipes, de la réunion de lancement au déploiement final, pour que votre établissement maîtrise le programme dans la durée, pas uniquement pour le premier jalon.

Notre objectif

« Vous permettre de tirer pleinement parti du programme HospiConnect : sécuriser vos financements, déployer une authentification forte conforme, et renforcer durablement la maîtrise des identités numériques dans votre établissement. »

Parce qu’un projet HospiConnect réussi, c’est plus qu’une conformité réglementaire atteinte : c’est une infrastructure d’identité numérique robuste, qui protège vos données patients, réduit les risques d’usurpation et prépare votre SI aux évolutions réglementaires à venir.

Parlons-en

Questions / Réponses

L’inscription sur Convergence était ouverte jusqu’au 13 février 2026. Si votre établissement n’a pas encore candidaté, il est important de vérifier auprès de votre ARS les modalités de rattrapage possibles. En revanche, le jalon de juin 2026 : dépôt de la note de cadrage et des indicateurs de maturité, reste accessible et conditionne les financements 2026. Ne pas le manquer est prioritaire.

Le volet CaRE finance le matériel d’identification (cartes PSI, lecteurs) avec une enveloppe calculée à 20 € par agent, mobilisable sans contrainte d’année budgétaire. Le volet HOP’EN 2 couvre les projets de transformation (IAM, SSO, fédération d’identités) avec une enveloppe annuelle. Si vous ne consommez pas votre budget 2026, il est perdu — il ne se reporte pas sur 2027.

La compatibilité dépend de votre éditeur et de la version déployée. L’exigence d’accès au DMP via le DPI peut être atteinte via le mode AIR simplifié ou via les APIs PSC. Nous réalisons un audit de compatibilité en phase de diagnostic pour identifier les écarts et les actions correctives à engager — avant de dimensionner le projet et les budgets.

Plusieurs organismes de certification, accrédités par le COFRAC, permettent d’évaluer votre conformité aux référentiels applicables. En raison de son impartialité, gplexpert ne dispose d’aucun partenariat spécifique avec de tels organismes. Nous vous conseillons néanmoins de vérifier les points suivants :

  • L’expertise du certificateur concernant la famille de normes ISO 27000
  • La réputation de ce certificateur à l’échelle de votre marché et de votre secteur
  • Sa capacité à tenir compte de vos choix (domaine d’action, culture d’entreprise…) plutôt que d’imposer un cadre rigide et mal adapté

La durée varie selon la taille de l’établissement et le niveau de maturité initial. Un projet complet — du diagnostic au déploiement de l’authentification forte — s’étend généralement sur 12 à 18 mois. Le programme étant triennal (2026-2028), une trajectoire progressive est possible, à condition de ne pas rater les jalons intermédiaires qui conditionnent les financements annuels.

Découvrez nos autres Accompagnement aux certifications

Accompagnement au programme CaRE

Accompagnement à la certification SIH

Accompagnement à la certification HDS

Le virage numérique des ESMS