FAQ de l'offre : Ségur du numérique en santé

Le numéro RRPS doit être utilisé lorsqu’il existe. Lorsqu’il n’existe pas et qu’un autre numéro national est disponible, l’utilisation de cet autre numéro est tolérée. 

Les preuves demandées sont de la documentation spécifique, une attestation sur l'honneur selon l'exigence, ainsi que le formulaire du test d'intrusion dans le cadre de l'exigence SC.SSI/GEN.18 (Profil AHI uniquement*). Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.

*Pour les autres solutions du couloir médico-social, le test d'intrusion est porté par l'exigence SC.PSC.14 dans le cadre de l'homologation Espace de Confiance ProSantéConnect.

Il est demandé qu’une fréquence de sauvegarde des données soit prévue dans la documentation, mais aucune fréquence n’est définie pour cette exigence.  
Il convient à chaque éditeur de définir ce qui est acceptable au regard du contexte d’utilisation de sa solution.   
Selon l’ANSSI, une stratégie de sauvegarde doit notamment tenir compte de la perte de données maximale admissible (PDMA) et de la durée maximale d’interruption admissible (DMIA) définies pour l’ensemble des valeurs métier du SI de l’entité (applications, données). 

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 : 
- pour les éditeurs soumis à l'homologation Espace de Confiance ProSantéConnect, dans le cadre de l'exigence SC.PSC.14 ;
- pour le profil AHI du couloir médico-social, dans le cadre de l'exigence SC.SSI/GEN.18.
Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Le montant de la facture transmise au client et à l'ASP en fin de projet doit correspondre au montant total (100%) - la partie "Prestation Segur" doit être reportée dans le JSON et doit être inférieure ou égale au montant déclaré lors de l'avance (dépôt du dossier).

Pour plus d'informations, veuillez vous référer à la partie "4.4 Conditions relatives à la réalisation de la Prestation principale" de l'Appel à Financement (AF) de votre dispositif.

L'intégration d'une interface Mailiz n'a pas de lien avec le choix du profil MSS. Si vous choisissez le profil Mailiz en déploiement, les preuves déposées devront correspondre à ce profil.

Vous devez faire un groupement d'éditeurs pour répondre à tout le périmètre des exigences, il faut cocher "OUI".

A noter qu'un composant additionnel ne doit pas faire l’objet d’un coût supplémentaire pour le client. 

Vous devez demander le raccordement à Pro Santé Connect en remplissant le formulaire dédié, disponible ici.