Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
Le Numéro de version technique du logiciel est l’identifiant unique de la solution. Il présente obligatoirement les caractéristiques suivantes :
- Le Numéro de version technique est aisément accessible à l’utilisateur dans l’IHM (Interface HommeMachine) du logiciel,
- Le Numéro de version technique doit évoluer dès qu’un élément du code source est modifié, y compris un simple patch,
- La succession chronologique des versions techniques doit être clairement compréhensible au travers d’une numérotation alphanumérique
Cette réponse vous a-t-elle été utile ?
Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.
Cette réponse vous a-t-elle été utile ?
Les règles suivantes doivent être respectées :
- Une candidature unique au référencement est portée pour le groupement ;
- Le Chef de file du groupement est l’interlocuteur unique de l’ANS pendant tout le processus de
référencement. Il représente le groupement pour toute démarche ou acte au titre du référencement du logiciel.
Cette réponse vous a-t-elle été utile ?
Oui, dans le cas où un éditeur commercialise plusieurs logiciels couvrant des périmètres fonctionnels relatifs aux DSR, il peut solliciter des référencements pour chacun de ces logiciels en déposant autant de candidatures que de logiciels à référencer.
Cette réponse vous a-t-elle été utile ?
La Prestation Ségur Vague 1 + Vague 2 a pour objectif de doter un Client non équipé d’une solution Ségur vague 1.
Les conditions d'éligibilité à cette prestation sont indiquées au §4.2 de l'AF du dispositif SONS correspondant.
(Pour exemple : L'appel à financement Vague 2 pour le SONS DPI)
Cette réponse vous a-t-elle été utile ?
Le format attendu de chaque preuve est spécifié dans le Référentiel d'Exigences Minimales de chaque couloir.
Cette réponse vous a-t-elle été utile ?
Le périmètre de la prestation Ségur de chaque couloir est précisé dans l'Appel à Financement (AF) afférent précisant les modalités de financement relatives à la prestation Ségur auprès de votre client. Nous vous invitons à consulter les ressources disponibles.
Cette réponse vous a-t-elle été utile ?
Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidater.
Cette réponse vous a-t-elle été utile ?
Non, vos référencements obtenus ne sont pas conditionnés à vos futurs référencements Vague 2.
Cette réponse vous a-t-elle été utile ?
Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.
Cette réponse vous a-t-elle été utile ?
Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.
Cette réponse vous a-t-elle été utile ?
La désignation des personnes responsables de la sécurité des produits nécessite les étapes suivantes :
- Identifier les exigences spécifiques de votre produit en matière de sécurité ;
- Évaluer les compétences et l'expérience des membres de votre équipe ;
- Désigner les responsabilités en matière de sécurité en fonction des compétences des membres de l'équipe ;
- Formaliser ces responsabilités dans les rôles et responsabilités de l'équipe.
Cette réponse vous a-t-elle été utile ?
Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002.
Cette réponse vous a-t-elle été utile ?
La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment :
- Une meilleure gestion des risques de sécurité ;
- Une responsabilité claire pour les problèmes de sécurité ;
- Une amélioration de la coordination des activités de sécurité ;
- Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ;
- Une conformité aux normes de sécurité.
Cette réponse vous a-t-elle été utile ?
La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment :
- Des failles de sécurité non détectées ;
- Des retards dans la réponse aux incidents de sécurité ;
- Un manque de coordination dans la gestion des risques ;
- Une faible sensibilisation à la sécurité au sein de l'équipe.
Cette réponse vous a-t-elle été utile ?
L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.
Cette réponse vous a-t-elle été utile ?
La responsabilité de la rédaction du plan d'assurance sécurité du système peut être partagée entre l'éditeur et l'hébergeur ou le fournisseur de services SaaS, en fonction des accords contractuels. Cependant, il est essentiel que ce plan soit clairement et doit contenir :
- Le cadre juridique : les références légales, les réglementations et les obligations contractuelles liées à l'hébergement du système, en précisant les responsabilités et les droits des parties impliquées, etc. ;
- Les mesures de sécurité : les dispositions et les procédures de sécurité mises en place pour protéger le système hébergé (ex: contrôles d'accès, protection des données, etc.) ;
- Les engagements entre l'hébergeur et la structure utilisatrice comme par exemple des garanties de disponibilité, des délais de réponse en cas de problème, des mesures de résilience en cas de panne, etc. ;
- L'environnement de mise en œuvre du système : il s'agit de décrire l'environnement technique et opérationnel dans lequel le système doit être déployé (ex: configuration réseau, connectivité, etc.).
Cette réponse vous a-t-elle été utile ?
Un "standard de développement sécurisé" est un ensemble de lignes directrices, de bonnes pratiques que les développeurs devraient suivre pour garantir la sécurité d'un système. Il peut provenir de différentes sources (ex : guide de l'ANSSI, documentation interne, OWASP, PGSSI-S, etc.). Il comprend des recommandations sur la vérification de la qualité du code, la gestion de l'obsolescence des bibliothèques, la sécurisation de la plateforme système, et bien d'autres aspects liés à la sécurité. Il est essentiel car il permet de réduire les vulnérabilités potentielles, les failles de sécurité et les risques de cyberattaques, assurant ainsi la sécurité du système.
Cette réponse vous a-t-elle été utile ?
La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI (Liste des prestataires de services qualifiés).
NB : Le lien est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.
Cette réponse vous a-t-elle été utile ?
La veille technologique concerne les composants du système tels que les bibliothèques, les logiciels, les dépendances, etc.
Cette réponse vous a-t-elle été utile ?