Le test doit être daté de moins d'un an.

L'INSi & le DMP sont des piliers fondamentaux du dispositif Ségur, ils continueront à être des prérequis sur la Vague 2. 

En ce qui concerne l'utilisation de solutions déjà homologuées, les mêmes règles qu'en vague 1 s'appliqueront. Les homologations requises pour le référencement s'appliquent aux solutions candidates.

Le mode d'hébergement est pris en compte au niveau des exigences SSI ainsi que des points de contrôle du test d'intrusion dans le cas où un industriel ou un tiers sous sa responsabilité assure l'hébergement de tout ou partie des composants du système, ou fournit tout ou partie du système sous forme de service (SaaS).
En revanche, les OS ne sont pas pris en compte dans les exigences SSI.

Le Numéro de version technique du logiciel est l’identifiant unique de la solution. Il présente obligatoirement les caractéristiques suivantes : 

• Le Numéro de version technique est aisément accessible à l’utilisateur dans l’IHM (Interface HommeMachine) du logiciel, 
• Le Numéro de version technique doit évoluer dès qu’un élément du code source est modifié, y compris un simple patch,
• La succession chronologique des versions techniques doit être clairement compréhensible au travers d’une numérotation alphanumérique

• Numéro d'Identification Editeur (NIE) : Numéro d’Identification de l’Editeur, délivré par le Centre National de Dépôt et d’Agrément (CNDA). 
• Numéro d'Identification Logiciel (NIL) : Numéro d’Identification Logiciel, délivré par le Centre National de Dépôt et d’Agrément (CNDA) pour l’agrément au titre du composant proposé par l’Editeur

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Le numéro de version technique du Logiciel est l'identifiant unique de la solution. 

Les règles suivantes doivent être respectées :

• Une candidature unique au référencement est portée pour le groupement ;
• Le Chef de file du groupement est l’interlocuteur unique de l’ANS pendant tout le processus de
  référencement. Il représente le groupement pour toute démarche ou acte au titre du référencement du logiciel.

Oui, dans le cas où un éditeur commercialise plusieurs logiciels couvrant des périmètres fonctionnels relatifs aux DSR, il peut solliciter des référencements pour chacun de ces logiciels en déposant autant de candidatures que de logiciels à référencer.

La Prestation Ségur Vague 1 + Vague 2 a pour objectif de doter un Client non  équipé d’une solution Ségur vague 1.
Les conditions d'éligibilité à cette prestation sont indiquées au §4.2 de l'AF du dispositif SONS correspondant.
(Pour exemple : L'appel à financement Vague 2 pour le SONS DPI)

Le périmètre de la prestation Ségur de chaque couloir est précisé dans l'Appel à Financement (AF) afférent précisant les modalités de financement relatives à la prestation Ségur auprès de votre client. Nous vous invitons à consulter les ressources disponibles.
 

Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidater.

Non, vos référencements obtenus ne sont pas conditionnés à vos futurs référencements Vague 2.​

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.

La désignation des personnes responsables de la sécurité des produits nécessite les étapes suivantes :
- Identifier les exigences spécifiques de votre produit en matière de sécurité ;
- Évaluer les compétences et l'expérience des membres de votre équipe ;
- Désigner les responsabilités en matière de sécurité en fonction des compétences des membres de l'équipe ;
- Formaliser ces responsabilités dans les rôles et responsabilités de l'équipe.

Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002. 

La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment :

• Une meilleure gestion des risques de sécurité ;
• Une responsabilité claire pour les problèmes de sécurité ;
• Une amélioration de la coordination des activités de sécurité ;
• Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ;
• Une conformité aux normes de sécurité.

La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment :

• Des failles de sécurité non détectées ;
• Des retards dans la réponse aux incidents de sécurité ;
• Un manque de coordination dans la gestion des risques ;
• Une faible sensibilisation à la sécurité au sein de l'équipe.

L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.