Exigences IE - Gestion des comptes utilisateurs

Afin de vérifier l'exactitude d'une adresse email, il y a deux grands types de méthode : envoyer un code numérique ou alphanumérique (lettres majuscules et chiffres) sur l'adresse email, et demander au professionnel de saisir cette valeur dans un formulaire ; envoyer un lien unique (URL générée spécifiquement pour ce cas d'usage) sur l'adresse email, et déclencher la validation de cette adresse email lorsqu'une connexion est ouverte sur l'URL transmise. Afin de vérifier l'exactitude d'un numéro de téléphone, il est généralement envoyé un code numérique de 4 ou 6 chiffres par SMS sur ce numéro et le professionnel doit le ressaisir dans un formulaire. Cette vérification doit avoir lieu au moment de la création du compte ou de la modification de la coordonnée. En l'absence de vérification effective, la coordonnée ne pourra pas être utilisée car étant potentiellement invalide.

Vulnérabilités, sécurité et sauvegarde

La procédure de sauvegarde et de restauration doit contenir des informations détaillées sur la manière de réaliser des sauvegardes efficaces, ainsi que sur la manière de restaurer les données en cas de besoin. Cela peut inclure : Les acteurs de la procédure de sauvegarde et de restauration et leurs rôles (RACI) ; La fréquence de sauvegarde ; Le plan de sauvegarde mis en place par l'éditeur ; Le champ d'application (périmètre de la sauvegarde) ; Le lieu de stockage des sauvegardes ; Les méthodes de sauvegarde (ex: sauvegardes complètes, incrémentielles ou différentielles) Les règles de sécurité : les mesures de sécurité sont mises en place pour protéger les sauvegardes (ex: chiffrement des données, l'accès restreint aux sauvegardes,etc.) ; Les tests de récupération (champ des tests, fréquence, etc.)

Accueil
FAQ
Questions fréquentes

FAQ de l'offre : Ségur du numérique en santé

Questions fréquentes

Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.

467 questions / réponses

- Logiciel de Gestion de Cabinet (LGC)

- Système de Gestion de Laboratoire (SGL)
- Transcodeur LOINC

- Radiology Information System (RIS)
- DRIMbox

- Logiciel de Gestion d'Officine (LGO)

- Dossier Usager Informatisé (DUI)

- Opérateurs MSS

- Service d'Accès aux Soins (SAS) Agenda

- Logiciel pour Sages-Femmes & Paramédicaux (PSF)

- Logiciel pour Chirurgiens-Dentistes (CD)

- Logiciel de Gestion de Cabinet (LGC)

- Système de Gestion de Laboratoire (SGL)
- Transcodeur LOINC

- Radiology Information System (RIS)
- DRIMbox

- Logiciel de Gestion d'Officine (LGO)

- Dossier Usager Informatisé (DUI)

- Opérateurs MSS

- Service d'Accès aux Soins (SAS) Agenda

- Logiciel pour Sages-Femmes & Paramédicaux (PSF)

- Logiciel pour Chirurgiens-Dentistes (CD)

467 questions / réponses

Vous êtes :

- Tout -

Centre de santé

Imagerie

Laboratoire

Maison de santé

Officine

Professionnel d'appareillage

Transporteur sanitaire

Etablissement de santé

Etablissement médico-social

Industriel

Profession libérale

Recherchez par mot clé :

Filtrez par offre :

(-) Ségur du numérique en santé
Interopérabilité
Cybersécurité
Conformité (labels, référencements et certifications)
Echanges de données
Répertoires et annuaires
Moyens d'identification électroniques
Services d’échanges de données de santé
Innovation
Projets nationaux

Filtrez par produit :

Cybersécurité accélération et Résilience des Etablissements (CaRE)
Les dispositifs de la vague 2 du Ségur du numérique en santé
Vous travaillez dans un établissement de santé
Programme CaRE - Axe 4 : Sécurité opérationnelle
Les dispositifs de la vague 1 du Ségur du numérique en santé
Le Ségur du numérique en établissement de santé
Messagerie Sécurisée de Santé - MSSanté
Le Ségur du numérique en santé pour la biologie médicale
Le Ségur du numérique en santé
Le Ségur du numérique en santé pour l'imagerie médicale
Le Ségur du numérique en santé pour les médecins de ville
Référentiel opérateur MSSanté
Répertoire RPPS
Portail maCarte
Mon espace santé
Programme CaRE - Axe 1 : Gouvernance et résilience
e-CPS
Portail RPPS+
Le Ségur du numérique en santé pour les professionnels paramédicaux
Le Ségur du numérique en santé pour les chirurgiens-dentistes
Le Ségur du numérique en santé pour les sages-femmes
Sentinelle, un chantier prioritaire du Ségur du numérique en santé
Programme CaRE - Axe 2 : Ressources et mutualisation
Dispositif ROC
Annuaire santé
HDS
J'obtiens mon identité numérique RPPS
Portails d’enregistrement au RPPS

Filtrez par thème(s) :

Domaine Stratégie de continuité et de reprise d'activité - Prérequis et objectifs
Services socles
HospiConnect
Domaine Audits techniques - Objectifs
Parcours de référencement (Convergence, CNDA, PSC)
Financements
Usages
Domaine Audits techniques - Candidature et déclaration atteinte objectifs
Exigences Ségur et référencement
Information générale
Domaine Audits techniques - Dépenses et financement
Périmètre Segur
Domaine Stratégie de continuité et de reprise d'activité - Candidature et déclaration atteinte objectifs
Juridique
Devenir Opérateur
ROC
Domaine Stratégie de continuité et de reprise d'activité - Dépenses et financement
Axe 4 - Sécurité opérationnelle
Annuaires
Sujet technique
Modalités d'identification électronique
Axe 1 - Gouvernance et résilience
Champ d'application
Axe 2 - Ressources et mutualisations
Exclusion
Candidature administrative
Exigences et preuves
Financement des prestations
Espaces de tests
Interopérabilité

Quels types de preuves permettent de valider les exigences concernant l'identification électronique ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Les preuves requises consistent en des captures d'écran ou des séquences vidéo illustrant les mesures de gestion des comptes d'utilisateurs, la connexion et la déconnexion au système.

Cette réponse vous a-t-elle été utile ?

Dans quel délai le système doit-il forcer la déconnexion du professionnel ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Le délai est à définir au cas par cas par le responsable du service numérique. Il doit être assez court pour limiter les possibilités d'accès au système par un tiers mais assez long pour ne pas forcer inutilement des authentifications intempestives.

Le compromis doit être établi en fonction des risques et des contraintes opérationnelles propres au service. La durée d'inactivité provoquant la déconnexion automatique ne devrait pas pouvoir dépasser quelques dizaines de minutes dans tous les cas.

Cette réponse vous a-t-elle été utile ?

Quel moyen de vérification utiliser en pratique ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Afin de vérifier l'exactitude d'une adresse email, il y a deux grands types de méthode :

envoyer un code numérique ou alphanumérique (lettres majuscules et chiffres) sur l'adresse email, et demander au professionnel de saisir cette valeur dans un formulaire ;
envoyer un lien unique (URL générée spécifiquement pour ce cas d'usage) sur l'adresse email, et déclencher la validation de cette adresse email lorsqu'une connexion est ouverte sur l'URL transmise.

Afin de vérifier l'exactitude d'un numéro de téléphone, il est généralement envoyé un code numérique de 4 ou 6 chiffres par SMS sur ce numéro et le professionnel doit le ressaisir dans un formulaire.

Cette vérification doit avoir lieu au moment de la création du compte ou de la modification de la coordonnée. En l'absence de vérification effective, la coordonnée ne pourra pas être utilisée car étant potentiellement invalide.

Cette réponse vous a-t-elle été utile ?

Comment l'intégrité et la confidentialité des preuves sont-elles garanties ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Pour être évaluées, les preuves doivent être déposées sur Convergence dans un conteneur ZED garantissant l'intégrité et la confidentialité des documents. Ces preuves sont consultées par les vérificateurs uniquement.

Cette réponse vous a-t-elle été utile ?

Les preuves demandées sont de la documentation spécifique et/ou une attestation sur l'honneur selon l'exigence. Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Les preuves demandées sont majoritairement de la documentation spécifique à chaque exigence, une attestation sur l'honneur, ainsi que le formulaire du test d'intrusion en particulier pour l'exigence SC.SSI/GEN.18. Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.

Cette réponse vous a-t-elle été utile ?

Quels éléments doit contenir la procédure de sauvegarde et de restauration selon cette exigence de sécurité ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La procédure de sauvegarde et de restauration doit contenir des informations détaillées sur la manière de réaliser des sauvegardes efficaces, ainsi que sur la manière de restaurer les données en cas de besoin. Cela peut inclure :

Les acteurs de la procédure de sauvegarde et de restauration et leurs rôles (RACI) ;
La fréquence de sauvegarde ;
Le plan de sauvegarde mis en place par l'éditeur ;
Le champ d'application (périmètre de la sauvegarde) ;
Le lieu de stockage des sauvegardes ;
Les méthodes de sauvegarde (ex: sauvegardes complètes, incrémentielles ou différentielles)
Les règles de sécurité : les mesures de sécurité sont mises en place pour protéger les sauvegardes (ex: chiffrement des données, l'accès restreint aux sauvegardes,etc.) ;
Les tests de récupération (champ des tests, fréquence, etc.)

Cette réponse vous a-t-elle été utile ?

Quels sont les principaux objectifs de la procédure de sauvegarde et de restauration, et comment celle-ci contribue-t-elle à la sécurité des solutions ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Les principaux objectifs de la procédure de sauvegarde et de restauration sont de garantir la disponibilité des données essentielles en cas de défaillance du système, de perturbation ou de perte de données.
Cette procédure contribue à la sécurité des solutions en minimisant les risques de perte de données critiques. Elle permet de restaurer rapidement et efficacement les systèmes à un état de fonctionnement antérieur, réduisant ainsi les temps d'indisponibilité et les impacts potentiels sur la sécurité et la continuité des opérations.

Cette réponse vous a-t-elle été utile ?

Qui est responsable de veiller à ce que ces processus fonctionnent correctement et que les correctifs soient appliqués à temps ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La responsabilité de garantir le bon fonctionnement de ces processus et de veiller à l'application en temps opportun des correctifs repose sur l'équipe ou la personne chargée de la sécurité informatique de votre système.

Cette réponse vous a-t-elle été utile ?

Quels composants du système sont concernés par l'exigence d'une veille technologique ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La veille technologique concerne les composants du système tels que les bibliothèques, les logiciels, les dépendances, etc.

Cette réponse vous a-t-elle été utile ?

Concernant la recherche de vulnérabilités, un test d'intrusion doit être effectué sur le système. S'agit-il d'un audit PASSI ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications a posteriori.

Cette réponse vous a-t-elle été utile ?