FAQ de l'offre : Ségur du numérique en santé

Il est demandé qu’une fréquence de sauvegarde des données soit prévue dans la documentation, mais aucune fréquence n’est définie pour cette exigence.  
Il convient à chaque éditeur de définir ce qui est acceptable au regard du contexte d’utilisation de sa solution.   
Selon l’ANSSI, une stratégie de sauvegarde doit notamment tenir compte de la perte de données maximale admissible (PDMA) et de la durée maximale d’interruption admissible (DMIA) définies pour l’ensemble des valeurs métier du SI de l’entité (applications, données). 

Le test d'intrusion concerne toutes les solutions, incluant les applications web et mobiles, les clients lourds de trois tiers ou plus et les clients lourds inférieurs à trois tiers. Le guide d'utilisation propose une classification explicite à travers un logigramme : une application est considérée comme web si elle fonctionne sur un serveur web ou est accessible via un navigateur. En revanche, si elle est spécifiquement conçue pour les appareils mobiles, elle est classée comme une application mobile. Si aucune de ces catégories ne s'applique et qu'une installation locale est nécessaire, elle est alors répertoriée comme un client lourd. Deux types de clients lourds sont à distinguer : un client lourd est qualifié de trois tiers ou plus s'il intègre un serveur d'application par lequel transitent tous les flux, sinon il est considéré comme moins de trois tiers.

Exception : Si un type d'architecture est dédié à une partie de l'application ne traitant aucune donnée personnelle ou de santé (par exemple : la partie mobile pour la commande en rayon), il n'est pas nécessaire de remplir un formulaire.

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 : 
- pour les éditeurs soumis à l'homologation Espace de Confiance ProSantéConnect, dans le cadre de l'exigence SC.PSC.14 ;
- pour le profil AHI du couloir médico-social, dans le cadre de l'exigence SC.SSI/GEN.18.
Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Un numéro AM ou FINESS est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)

Pour le calcul de la tranche, le service de calcul ne prend pas en compte les numéros invalides. Ils sont indiqués dans le mail de résultat mais n'impactent pas le résultat.
Si la commande contient un ou plusieurs numéros AM et/ou FINESS indiqués comme "invalides" par le service de calcul, elle ne sera pas rejetée, sauf si tous les numéros FINESS et AM de la commande sont invalides conduisant à un montant plafond nul.

Un numéro est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)

Vous pouvez soumettre votre demande d'enrôlement à l'ASP dès que la candidature administrative de la solution logicielle que vous éditez ou distribuez a été validée par l'ANS (statut éligible sur Convergence suite à la finalisation de la phase de dépôt du dossier administratif).

L'enrôlement auprès de l'Agence de services et de paiement (ASP) peut ensuite être effectué avant l'obtention du référencement Ségur. Dans ce cas, vous avez la possibilité de demander un enrôlement anticipé (enrôlement initial s'il s'agit de votre premier enrôlement auprès de l'ASP, vague 1 comprise ; ou enrôlement complémentaire s'il s'agit d'un second enrôlement, ou plus, auprès de l'ASP, vague 1 comprise). Cela vous permet d'accéder aux outils de test pour anticiper les démarches relatives à la demande de financement.

Dès l'obtention du référencement réalisé lors de la phase de dépôt et d'instruction du dossier de preuves sur Convergence, vous devez finaliser votre enrôlement ou effectuer un enrôlement initial via le Portail du Ségur Numérique.

Vous pouvez vous référer à la page dédiée au financement SONS de la vague 2 du Ségur du numérique en santé disponible sur le Portail Industriel de l'ANS.

Vous pouvez soumettre votre demande d'enrôlement à l'ASP dès que la candidature administrative de la solution logicielle que vous éditez ou distribuez a été validée par l'ANS (statut éligible sur Convergence suite à la finalisation de la phase de dépôt du dossier administratif).

L'enrôlement auprès de l'Agence de services et de paiement (ASP) peut ensuite être effectué avant l'obtention du référencement Ségur. Dans ce cas, vous avez la possibilité de demander un enrôlement anticipé (enrôlement initial s'il s'agit de votre premier enrôlement auprès de l'ASP, vague 1 comprise ; ou enrôlement complémentaire s'il s'agit d'un second enrôlement, ou plus, auprès de l'ASP, vague 1 comprise). Cela vous permet d'accéder aux outils de test pour anticiper les démarches relatives à la demande de financement.

Dès l'obtention du référencement réalisée lors de la phase de dépôt et d'instruction du dossier de preuves sur Convergence, vous devez finaliser votre enrôlement ou effectuer un enrôlement initial via le Portail du Ségur Numérique.

Vous pouvez vous référer à la page dédiée au financement SONS de la vague 2 du Ségur du numérique en santé disponible sur le Portail Industriel de l'ANS.

Vous pouvez soumettre votre demande d'enrôlement à l'ASP dès que la candidature administrative de la solution logicielle que vous éditez ou distribuez a été validée par l'ANS (statut éligible sur Convergence suite à la finalisation de la phase de dépôt du dossier administratif).

L'enrôlement auprès de l'Agence de services et de paiement (ASP) peut ensuite être effectué avant l'obtention du référencement Ségur. Dans ce cas, vous avez la possibilité de demander un enrôlement anticipé (enrôlement initial s'il s'agit de votre premier enrôlement auprès de l'ASP, vague 1 comprise ; ou enrôlement complémentaire s'il s'agit d'un second enrôlement, ou plus, auprès de l'ASP, vague 1 comprise). Cela vous permet d'accéder aux outils de test pour anticiper les démarches relatives à la demande de financement.

Dès l'obtention du référencement réalisée lors de la phase de dépôt et d'instruction du dossier de preuves sur Convergence, vous devez finaliser votre enrôlement ou effectuer un enrôlement initial via le Portail du Ségur Numérique.

Vous pouvez vous référer à la page dédiée au financement SONS de la vague 2 du Ségur du numérique en santé disponible sur le Portail Industriel de l'ANS.