FAQ de l'offre : Ségur du numérique en santé

Le formulaire du test d'intrusion Ségur peut être complété a posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.

Les ressources mises à disposition pour la réalisation du test d'intrusion sont le formulaire du test d'intrusion et le guide d'utilisation.

• Le formulaire du test d'intrusion comprend des contrôles de sécurité classés en deux catégories selon leur niveau de gravité (haute ou moyenne), et qui concernent soit tous les types d'application, soit un type d'application spécifique (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers).
• Le guide d’utilisation du formulaire du test d'intrusion fournit une vue d'ensemble détaillée des éléments nécessaires à la réalisation d'un test d'intrusion. Il couvre chaque phase du test, en tenant compte des rôles distincts de l'éditeur et de l'auditeur. Le guide fournit également des informations sur la classification des applications, ainsi que des définitions et des précisions sur certains points de contrôle du formulaire.

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Les preuves requises consistent en des captures d'écran ou des séquences vidéo illustrant les mesures de gestion des accès et des identités.

Non, chaque éditeur est libre d'utiliser le type de fichier de son choix tant que la fonctionnalité demandée par l'exigence est disponible.

Des machines virtuelles (VM) sont disponibles pour téléchargement sur le compte éditeur de la plateforme Convergence et s'accompagnent pour chaque exigence d'un guide d'utilisation présentant la VM et le mode opératoire du test.

Tous les éléments externes s'interfaçant avec les services numériques et nécessaires aux scénarios de preuve seront fournis par l'ANS avec un guide de raccordement/configuration.

La vague 2 du Ségur n'exige qu'une compatibilité générique avec le standard OIDC et le flux Authentication Code Flow. Les éditeurs sont libres de faire les choix de paramétrage qui leur conviennent du moment qu'ils s'inscrivent dans le cadre du standard. Le financement de connecteurs OIDC spécifiques à certains établissements n'est pas compris dans le Ségur. Il fera l'objet d'une contractualisation directement avec les établissements en ayant besoin.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S :

• Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ;
• Le référentiel d’authentification des acteurs de santé v2.0;
• Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.