FAQ de l'offre : Ségur du numérique en santé

La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.

La clause de revoyure permet d'avoir un engagement de la part de l'auditeur pour tester de nouveau les exigences non validées lors du test d'intrusion et d'effectuer un contre-audit afin de vérifier si les mesures de sécurité nécessaires ont été mises en œuvre.

La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.

Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.

Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.

Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

Un numéro AM ou FINESS est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)

Pour le calcul de la tranche, le service de calcul ne prend pas en compte les numéros invalides. Ils sont indiqués dans le mail de résultat mais n'impactent pas le résultat.
Si la commande contient un ou plusieurs numéros AM et/ou FINESS indiqués comme "invalides" par le service de calcul, elle ne sera pas rejetée, sauf si tous les numéros FINESS et AM de la commande sont invalides conduisant à un montant plafond nul.

Un numéro est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)

Vous pouvez soumettre votre demande d'enrôlement à l'ASP dès que la candidature administrative de la solution logicielle que vous éditez ou distribuez a été validée par l'ANS (statut éligible sur Convergence suite à la finalisation de la phase de dépôt du dossier administratif).

L'enrôlement auprès de l'Agence de services et de paiement (ASP) peut ensuite être effectué avant l'obtention du référencement Ségur. Dans ce cas, vous avez la possibilité de demander un enrôlement anticipé (enrôlement initial s'il s'agit de votre premier enrôlement auprès de l'ASP, vague 1 comprise ; ou enrôlement complémentaire s'il s'agit d'un second enrôlement, ou plus, auprès de l'ASP, vague 1 comprise). Cela vous permet d'accéder aux outils de test pour anticiper les démarches relatives à la demande de financement.

Dès l'obtention du référencement réalisée lors de la phase de dépôt et d'instruction du dossier de preuves sur Convergence, vous devez finaliser votre enrôlement ou effectuer un enrôlement initial via le Portail du Ségur Numérique.

Vous pouvez vous référer à la page dédiée au financement SONS de la vague 2 du Ségur du numérique en santé disponible sur le Portail Industriel de l'ANS.