Plan d'Assurance Sécurité & Sécurité du produit / développement

La responsabilité de la rédaction du plan d'assurance sécurité du système peut être partagée entre l'éditeur et l'hébergeur ou le fournisseur de services SaaS, en fonction des accords contractuels. Cependant, il est essentiel que ce plan soit clairement et doit contenir : Le cadre juridique : les références légales, les réglementations et les obligations contractuelles liées à l'hébergement du système, en précisant les responsabilités et les droits des parties impliquées, etc. ; Les mesures de sécurité : les dispositions et les procédures de sécurité mises en place pour protéger le système hébergé (ex: contrôles d'accès, protection des données, etc.) ; Les engagements entre l'hébergeur et la structure utilisatrice comme par exemple des garanties de disponibilité, des délais de réponse en cas de problème, des mesures de résilience en cas de panne, etc. ; L'environnement de mise en œuvre du système : il s'agit de décrire l'environnement technique et opérationnel dans lequel le système doit être déployé (ex: configuration réseau, connectivité, etc.).

Responsabilité et sensibilisation à la sécurité

La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment : Des failles de sécurité non détectées ; Des retards dans la réponse aux incidents de sécurité ; Un manque de coordination dans la gestion des risques ; Une faible sensibilisation à la sécurité au sein de l'équipe.

Responsabilité et sensibilisation à la sécurité

La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment : Une meilleure gestion des risques de sécurité ; Une responsabilité claire pour les problèmes de sécurité ; Une amélioration de la coordination des activités de sécurité ; Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ; Une conformité aux normes de sécurité.

Je travaille actuellement sur les exigences du dispositif PFI du couloir Hôpital de la Vague 2. Comment m'assurer que j'utilise la bonne version du document ?

La dernière version de ce document est disponible sur la page dédiée du dispositif concerné ainsi que via son lien de téléchargement direct : Le dispositif PFI Vague 2 du Couloir Hôpital du Ségur du numérique en santé Toutes les ressources du Ségur Référentiel d'exigences – Hôpital – PFI – Annexe 2 – Vague 2 (xlsx) – version du 11/03/2025 La date de la version publiée est par ailleurs indiquée sur le lien de téléchargement du document. Pour votre information, voici un historique des versions publiées : Date Notes de mises à jour 19/05/2024 Version initiale 30/05/2024 Scénario concerné : SSI/GEN.18.01 et Preuve concernée : SSI/GEN.18.01.02 Suppression de l'étape n°2 du scénario et de la preuve associée Scénarii concernés : MSS/CONF.03.01.01, MSS/CONF.05.01.01, MSS/CONF.06.01.01, MSS/CONF.12.01.01, MSS/CONF.14.01.01, MSS/CONF.15.01.01, MSS/CONF.16.01.01, MSS/CONF.21.01.01, MSS/CONF.27.01.01 Complément d'information pour faciliter le référencement Scénarii concernés : MSS/va1.17.01, SSI/GEN.01.01, SSI/GEN.02.01, SSI/GEN.03.01, SSI/GEN.11.01, SSI/GEN.18.01, SSI/GEN.20.01, SSI/GEN.21.01 Ajout de liens vers des documents d'accompagnement au référencement 26/06/2024 Ajout de liens vers des documents d'accompagnement au référencement dans l'onglet "Liste Référentiels" Exigences concernées : SC.SSI/GEN.18 Ajout de liens vers des documents d'accompagnement au référencement Exigence concernée : SC.DB/PFI.01 Complétion du nom du référentiel:"Spécifications DRIMbox à destination des DPI/PFI" [DB1] Preuve concernée : SSI/GEN.03.01.01 Complétion de la preuve 04/07/2024 Scénario concerné : SSI/IE.39.01 Modification mineure du scénario de conformité (retrait de la mention du secret) 17/07/2024 Scénario concerné : SSI/GEN.03.01 Modification du scénario de conformité pour traiter les deux cas de figure (avec et sans PAS) et ajout de liens vers des documents d'accompagnement au référencement 05/09/2024 Scénario concerné : SC.DB/PFI.01.01 Correctifs apportés au scénario de conformité pour traiter l'attribut Version Number du CDA, les liens vers le répertoire GIT, la suppression de l'utilisation du terme "simulateur client HL7v2". 27/11/2024 Correctifs apportés au scénario de conformité : améliorations et correction d'une erreur sur les jeux de données proposés. Correctifs apportés au scénario de conformité : améliorations et correction d'une erreur sur les jeux de données proposés. 11/03/2025 Exigences concernées : PFI.MSS/UX.11 et PFI.MSS/UX.12 Scénarii concernés : PFI.MSS/UX.11.01, PFI.MSS/UX.12.01 et SC.SSI/IAM.92.01 Correction du scénario de l'exigence SC.SSI/IAM.92 : réalignement entre l'exigence et le scénario

FAQ de l'offre : Ségur du numérique en santé

Questions fréquentes

Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.

🔎N'oubliez pas de sélectionner une offre avant de pouvoir filtrer votre recherche par produit.

277 questions / réponses

- Logiciel de Gestion de Cabinet (LGC-MdV)

- Système de Gestion de Laboratoire (SGL)
- Transcodeur LOINC

- Radiology Information System (RIS)
- DRIMbox

- Logiciel de Gestion d'Officine (LGO)

- Dossier Usager Informatisé (DUI)

- Opérateurs MSS

- Service d'Accès aux Soins (SAS) Agenda

- Logiciel de Gestion de Cabinet (LGC-SFP)

- Logiciel pour Chirurgiens-Dentistes (CD)

277 questions / réponses

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La responsabilité de la rédaction du plan d'assurance sécurité du système peut être partagée entre l'éditeur et l'hébergeur ou le fournisseur de services SaaS, en fonction des accords contractuels. Cependant, il est essentiel que ce plan soit clairement et doit contenir :

Le cadre juridique : les références légales, les réglementations et les obligations contractuelles liées à l'hébergement du système, en précisant les responsabilités et les droits des parties impliquées, etc. ;
Les mesures de sécurité : les dispositions et les procédures de sécurité mises en place pour protéger le système hébergé (ex: contrôles d'accès, protection des données, etc.) ;
Les engagements entre l'hébergeur et la structure utilisatrice comme par exemple des garanties de disponibilité, des délais de réponse en cas de problème, des mesures de résilience en cas de panne, etc. ;
L'environnement de mise en œuvre du système : il s'agit de décrire l'environnement technique et opérationnel dans lequel le système doit être déployé (ex: configuration réseau, connectivité, etc.).

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Le plan d'assurance sécurité du système (PAS) est un document qui définit les mesures de sécurité et les engagements entre l'hébergeur et la structure utilisatrice pour l'environnement de mise en œuvre du système. Il vise à garantir la sécurité des données et des composants du système lorsqu'ils sont hébergés par un tiers ou fournis sous forme de services (SaaS).

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment :

Des failles de sécurité non détectées ;
Des retards dans la réponse aux incidents de sécurité ;
Un manque de coordination dans la gestion des risques ;
Une faible sensibilisation à la sécurité au sein de l'équipe.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment :

Une meilleure gestion des risques de sécurité ;
Une responsabilité claire pour les problèmes de sécurité ;
Une amélioration de la coordination des activités de sécurité ;
Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ;
Une conformité aux normes de sécurité.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La désignation des personnes responsables de la sécurité des produits nécessite les étapes suivantes :
- Identifier les exigences spécifiques de votre produit en matière de sécurité ;
- Évaluer les compétences et l'expérience des membres de votre équipe ;
- Désigner les responsabilités en matière de sécurité en fonction des compétences des membres de l'équipe ;
- Formaliser ces responsabilités dans un document dédié et les communiquer aux équipes.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 1, Ségur Vague 2

Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidatez.

Cette réponse vous a-t-elle été utile ?

[ Date de mise à jour : 16 fév. 2026 ] Ségur Vague 2

La dernière version de ce document est disponible sur la page dédiée du dispositif concerné ainsi que via son lien de téléchargement direct :

Le dispositif PFI Vague 2 du Couloir Hôpital du Ségur du numérique en santé

Toutes les ressources du Ségur

Référentiel d'exigences – Hôpital – PFI – Annexe 2 – Vague 2 (xlsx) – version du 11/03/2025

La date de la version publiée est par ailleurs indiquée sur le lien de téléchargement du document.

Pour votre information, voici un historique des versions publiées :

Date	Notes de mises à jour
19/05/2024	Version initiale
30/05/2024	Scénario concerné : SSI/GEN.18.01 et Preuve concernée : SSI/GEN.18.01.02 Suppression de l'étape n°2 du scénario et de la preuve associée Scénarii concernés : MSS/CONF.03.01.01, MSS/CONF.05.01.01, MSS/CONF.06.01.01, MSS/CONF.12.01.01, MSS/CONF.14.01.01, MSS/CONF.15.01.01, MSS/CONF.16.01.01, MSS/CONF.21.01.01, MSS/CONF.27.01.01 Complément d'information pour faciliter le référencement Scénarii concernés : MSS/va1.17.01, SSI/GEN.01.01, SSI/GEN.02.01, SSI/GEN.03.01, SSI/GEN.11.01, SSI/GEN.18.01, SSI/GEN.20.01, SSI/GEN.21.01 Ajout de liens vers des documents d'accompagnement au référencement
26/06/2024	Ajout de liens vers des documents d'accompagnement au référencement dans l'onglet "Liste Référentiels" Exigences concernées : SC.SSI/GEN.18 Ajout de liens vers des documents d'accompagnement au référencement Exigence concernée : SC.DB/PFI.01 Complétion du nom du référentiel:"Spécifications DRIMbox à destination des DPI/PFI" [DB1] Preuve concernée : SSI/GEN.03.01.01 Complétion de la preuve
04/07/2024	Scénario concerné : SSI/IE.39.01 Modification mineure du scénario de conformité (retrait de la mention du secret)
17/07/2024	Scénario concerné : SSI/GEN.03.01 Modification du scénario de conformité pour traiter les deux cas de figure (avec et sans PAS) et ajout de liens vers des documents d'accompagnement au référencement
05/09/2024	Scénario concerné : SC.DB/PFI.01.01 Correctifs apportés au scénario de conformité pour traiter l'attribut Version Number du CDA, les liens vers le répertoire GIT, la suppression de l'utilisation du terme "simulateur client HL7v2".
27/11/2024	Correctifs apportés au scénario de conformité : améliorations et correction d'une erreur sur les jeux de données proposés. Correctifs apportés au scénario de conformité : améliorations et correction d'une erreur sur les jeux de données proposés.
11/03/2025	Exigences concernées : PFI.MSS/UX.11 et PFI.MSS/UX.12 Scénarii concernés : PFI.MSS/UX.11.01, PFI.MSS/UX.12.01 et SC.SSI/IAM.92.01 Correction du scénario de l'exigence SC.SSI/IAM.92 : réalignement entre l'exigence et le scénario

Cette réponse vous a-t-elle été utile ?

Retrouvez les informations dans votre espace dédié

Retrouvez directement les informations qui vous sont dédiées :

Accédez à l'espace des cabinets de ville

Retrouvez directement les informations qui vous sont dédiées :

Accédez à l'espace des établissements de santé

Retrouvez directement les informations qui vous sont dédiées :

Accédez à l'espace des établissement et services sociaux et médico-sociaux

Retrouvez directement les informations qui vous sont dédiées :

Accédez à l'espace des Entreprises du numérique en santé

Besoin d’aller plus loin dans vos démarches ?

Participez à nos webinaires dédiés aux Entreprises du numérique en santé

Contactez-nous via notre formulaire dédié

Centralisez vos démarches, suivez vos demandes et accédez à l’ensemble de vos services ANS depuis votre Espace Authentifié :

Créez votre Espace Authentifié

Déjà inscrit ?

Connectez vous à votre Espace Authentifié

Vous souhaitez nous contacter ?

Notre équipe est à votre écoute pour vous assister dans vos démarches.

Contactez-nous

FAQ de l'offre : Ségur du numérique en santé

Qui est responsable de la rédaction du PAS et quels sont les éléments qu'il doit contenir ?

Qu'est-ce que le plan d'assurance sécurité (PAS) du système en ce qui concerne l'hébergement et les services en SaaS ?

En quoi consiste l'exigence de sensibilisation et quelles sont les parties concernées ?

Quelles sont les conséquences possibles en cas de non désignation des acteurs responsables de la sécurité dans mon équipe de développement ?

Quels sont les avantages de désigner des acteurs responsables de la sécurité du produit dans le processus de développement ?

Existe-t-il des bonnes pratiques pour formaliser les responsabilités des acteurs en matière de sécurité ?

Quelles sont les étapes recommandées pour désigner les acteurs responsables de la sécurité du produit ?

Comment définir les acteurs responsables de la sécurité du produit ?

Comment référencer mon logiciel en parallèle sur plusieurs SONS sans devoir redéposer plusieurs fois les mêmes preuves ?

Je travaille actuellement sur les exigences du dispositif PFI du couloir Hôpital de la Vague 2.
Comment m'assurer que j'utilise la bonne version du document ?

Retrouvez les informations dans votre espace dédié

Vous souhaitez nous contacter ?

FAQ de l'offre : Ségur du numérique en santé

Qui est responsable de la rédaction du PAS et quels sont les éléments qu'il doit contenir ?

Qu'est-ce que le plan d'assurance sécurité (PAS) du système en ce qui concerne l'hébergement et les services en SaaS ?

En quoi consiste l'exigence de sensibilisation et quelles sont les parties concernées ?

Quelles sont les conséquences possibles en cas de non désignation des acteurs responsables de la sécurité dans mon équipe de développement ?

Quels sont les avantages de désigner des acteurs responsables de la sécurité du produit dans le processus de développement ?

Existe-t-il des bonnes pratiques pour formaliser les responsabilités des acteurs en matière de sécurité ?

Quelles sont les étapes recommandées pour désigner les acteurs responsables de la sécurité du produit ?

Comment définir les acteurs responsables de la sécurité du produit ?

Comment référencer mon logiciel en parallèle sur plusieurs SONS sans devoir redéposer plusieurs fois les mêmes preuves ? ​

Je travaille actuellement sur les exigences du dispositif PFI du couloir Hôpital de la Vague 2. Comment m'assurer que j'utilise la bonne version du document ?

Retrouvez les informations dans votre espace dédié

Vous souhaitez nous contacter ?

Comment référencer mon logiciel en parallèle sur plusieurs SONS sans devoir redéposer plusieurs fois les mêmes preuves ?

Je travaille actuellement sur les exigences du dispositif PFI du couloir Hôpital de la Vague 2.
Comment m'assurer que j'utilise la bonne version du document ?