Questions fréquentes

Dans le cadre du déroulement des scénarios de test d'interopérabilité associés au processus d'homologation SEGUR vague 2 DRIM-M, l'intégration de documents KOS au sein d'une solution DRIMBox peut être demandé en tant que prérequis. L'objectif d'un tel processus consiste à limiter les interactions entre la solution DRIMBox et l’environnement de test DMP.

Deux situations doivent alors être distinguées en fonction du rôle joué par la solution DRIMBox au sein de laquelle le ou les documents KOS doivent être intégrés : 

• Fonction source : L'intégration d'un document KOS préalablement au déroulement d'un scénario de test permet de simuler une situation de première publication réussie de celui-ci auprès de l'environnement DMP, et ainsi de focaliser les étapes de test sur la gestion du cycle de vie du document KOS (mise à jour, dépublication) ainsi que sur la capacité de la solution DRIMBox à répondre à une requête WADO-RS (mise en œuvre des contrôles auprès de l'archive locale). 
  Sans ce prérequis d'intégration d'un document KOS au sein de la solution DRIMBox, plusieurs étapes de test supplémentaires auraient été nécessaires afin de se trouver dans les conditions permettant de réaliser le workflow demandé.  
• Fonction consommatrice : L'intégration de documents KOS préalablement au déroulement d'un scénario de test permet de pouvoir utiliser les fonctionnalités standards de la solution à son démarrage (navigation, visualisation/export des images référencées), sans qu'une transaction de consultation auprès du DMP soit nécessaire.

Afin de satisfaire aux prérequis d'intégration de documents KOS, plusieurs processus peuvent être envisagés. Ceux-ci sont également à distinguer en fonction du rôle joué par la solution DRIMBox concernée : 

• Fonction source :
  • Le ou les documents KOS peuvent être intégrés au sein de la solution DRIMBox au travers d'un mécanisme classique de génération, puis publication auprès de l'environnement de test DMP. A cet effet, l'ANS met à disposition un ensemble de jeux de données HL7v2, CDA, DICOM permettant de réaliser intégralement ce workflow et ainsi d'aboutir à une solution DRIMBox dont l'archive locale contient les documents KOS ciblés.
  • Le chargement de documents KOS au sein de la solution DRIMBox peut également être effectué au moyen d'un import d'archive IHE-XDM, sous réserve de ne pas activer automatiquement la fonction de resynchronisation, cf. exigence DB.SO.28 issue de la spécification projet DRIMBox. Dans ce cas, l'archive IHE-XDM doit être construite par le participant à partir des jeux de données mis à disposition par l'ANS.
  • Enfin, tel qu'envisagé au sein de la section 4.7 de la spécification projet DRIMBox, les documents KOS ciblés ainsi que les métadonnées associées peuvent être intégrés directement au sein de l'archive locale de la solution DRIMBox au moyen d'un mécanisme propriétaire. 
     
• Fonction consommatrice :
  • Le ou les documents KOS peuvent être intégrés au sein de la solution DRIMBox au moyen d'un mécanisme classique de consultation auprès de l'environnement de test DMP. Cependant, cela implique que le ou les documents KOS ainsi consultés doivent avoir préalablement été publiés au sein de l'environnement de test DMP. Implicitement, cet aspect fait donc également partie des responsabilités du participant dans le cas où le processus de consultation classique est mis en œuvre.
  • De la même manière que pour la fonction source, les documents KOS ciblés peuvent être intégrés directement au sein de l'interface de la solution DRIMBox au moyen d'un mécanisme propriétaire. Dans ce cas, l’affichage des documents KOS présentés à l’utilisateur au démarrage de la solution DRIMBox peut présenter un mode dégradé car certaines informations sont normalement issues des métadonnées XDS récupérées auprès de l'environnement DMP. 

Pour toutes vos questions cybersécurité relatives au Ségur vague 2, rendez-vous sur la FAQ dédiée, spécialement conçue pour vous accompagner et vous informer sur les exigences SSI et le test d'intrusion

Le scénario SSI/IAM.92.01 relatif aux preuves de conformité sur la gestion des mots de passe a fait l'objet d'une évolution.

Afin d’harmoniser les exigences sur l’ensemble des couloirs, le scénario modifié s’applique désormais à tous les éditeurs qui candidatent sur les guichets RIS et DRIMBox.

Qu’est-ce qui change concrètement ?

Le scénario précédent pour RIS et DRIMbox prévoyait un blocage du compte après 5 échecs de changement de mot de passe.
Désormais, conformément au scénario harmonisé, il faut :

• Réaliser une tentative de connexion erronée répétée,
• Mettre en évidence le blocage du compte après un nombre d’échecs consécutifs au plus égal à 10 (et non plus après 5 échecs de changement de mot de passe).

Le scénario attendu est le suivant : Scénario de conformité : SSI/IAM.92.01

Vérifier la mise en place d'une politique de mots de passe robuste pour les comptes à privilèges
 

Etapes du scénario :

1. Se connecter avec un compte à privilège dont la durée de validité a été dépassée
2. Mettre en évidence que le système impose à l'utilisateur un changement de son mot de passe
3. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la limite de 15 caractères
4. Mettre en évidence le refus du changement de mot de passe
5. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'une majuscule
6. Mettre en évidence le refus du changement de mot de passe
7. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'un chiffre
8. Mettre en évidence le refus du changement de mot de passe
9. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'un caractère spécial
10. Mettre en évidence le refus du changement de mot de passe
11. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe précédemment utilisé
12. Mettre en évidence le refus du changement de mot de passe
13. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe satisfaisant l'ensemble des critères
14. Mettre en évidence la réussite du changement de mot de passe
15. Effectuer une tentative de connexion au compte à l'aide d'un mot de passe erroné et répéter l'opération
16. Mettre en évidence le blocage du compte après un nombre défini d'échecs de connexion consécutifs au plus égal à 10
     

Notez que le scénario s’applique immédiatement pour tous les futurs dépôts. Le mécanisme de preuve reste inchangé (Capture vidéo montrant le bon déroulé du scénario de conformité).

Que dois-je faire si mes preuves sont déjà réalisées ou en cours de réalisation ?

• Si vos preuves n’ont pas encore été déposées, appliquez directement le scénario harmonisé.
• Si vos preuves ont déjà été déposées selon l’ancienne version, préparez une mise à jour conforme au nouveau scénario pour répondre aux demandes de modification.

Pour toute question, nous vous invitons à contacter le support Industriels Ségur : Formulaire de contact

Afin de tester l'intégralité des mécanismes de contrôle implémentés par les Solutions DRIMBox candidates au référencement SEGUR DRIM-M, certaines situations "non-passantes" sont intégrées au sein des scénarios de test définis dans ce contexte.

Ces cas d'erreur peuvent résulter de l'exploitation de jeux de données volontairement corrompus ou d'interaction entre la solution DRIMBox et un simulateur présentant un défaut de configuration intentionnel.

Il est donc cohérent que pour ces situations l'utilisateur constate un résultat d'exécution non-passant au sein de l'interface du simulateur/validateur. 

Oui, il est possible de mettre à disposition un endpoint sécurisé sur le Proxy e-santé (par exemple : /connect2). Celui-ci permet à la DRIMbox d’obtenir un access token PSC, à condition que la requête s’appuie sur une session active du Proxy e-santé (cookie de session valide). 

Ce mécanisme respecte la doctrine ANS : Les jetons PSC ne sortent pas du proxy « en clair » ni en dehors d’un contexte sécurisé. L’accès au jeton est strictement lié à la gestion de la session proxy. Il n’existe pas de standard unique ANS sur le nom ou le format de cet endpoint, mais il doit être documenté, sécurisé, et assurer la traçabilité des accès.

À ce jour, le dispositif "Dossier Usager Informatisé (DUI) - AHI (MS3)" du Ségur Vague 2 n'est pas encore ouvert : des travaux sont toujours en cours. Dès que les éléments nécessaires seront finalisés (cadre réglementaire, modalités de référencement, financements, ...), nous publierons les informations complètes sur le Portail Industriels. Nous vous informerons également via votre Espace Authentifié.

À ce jour, le dispositif "Paramédicaux" du Ségur Vague 2 n'est pas encore ouvert : des travaux sont toujours en cours. Dès que les éléments nécessaires seront finalisés (cadre réglementaire, modalités de référencement, financements, ...), nous publierons les informations complètes sur le Portail Industriels. Nous vous informerons également via votre Espace Authentifié.

À ce jour, le dispositif "Chirurgiens-Dentistes" du Ségur Vague 2 n'est pas encore ouvert : des travaux sont toujours en cours. Dès que les éléments nécessaires seront finalisés (cadre réglementaire, modalités de référencement, financements, ...), nous publierons les informations complètes sur le Portail Industriels. Nous vous informerons également via votre Espace Authentifié.

À ce jour, le dispositif "Sages-Femmes" du Ségur Vague 2 n'est pas encore ouvert : des travaux sont toujours en cours. Dès que les éléments nécessaires seront finalisés (cadre réglementaire, modalités de référencement, financements, ...), nous publierons les informations complètes sur le Portail Industriels. Nous vous informerons également via votre Espace Authentifié.

Oui, une société identifiée par un SIREN, par exemple une SCM permettant à des radiologue de partager des équipements, peut signer une commande Ségur IMG Vague 2, dès lors que ses bénéficiaires portent une activité non nulle en 2023 de radiologie et/ou de médecins nucléaire.