FAQ des industriels

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Consultez la page du ministère sur la rémunération des professionnels de santé engagés dans le dispositif, ainsi que le document de participation à destination des effecteurs : 

Cela dépend essentiellement de la qualité des développements livrés. A titre indicatif, une durée moyenne de 2 mois est observée.

Un utilisateur est capable de gérer les permissions des comptes utilisateur qui lui sont rattachés directement ou indirectement.

Il n’est pas possible d'administrer soi-même la liste des produits auxquels l’on a accès. Pour modifier la liste des produits auxquels vous avez accès, il est nécessaire d’en faire la demande à votre responsable.

Un utilisateur est effectivement capable de supprimer les comptes des utilisateurs qui lui sont rattachés.

Pour supprimer le compte d'un utilisateur, il est d'abord nécessaire de rattacher à un autre compte utilisateur les produits dont il est le responsable. Une fois que le compte de l'utilisateur n'est responsable d'aucun produit, la suppression peut être réalisée depuis l'espace de gestion des comptes.

Afin d’accéder à l’espace privé Convergence, le login à renseigner dans le champ « nom d’utilisateur » de la mire est celui transmis lors de l’inscription. Le login peut être différent de l’adresse mél associée au compte.

Un utilisateur est identifié par un unique login et une unique adresse mél au sein de la plateforme. Il n'est donc pas possible de créer deux comptes avec la même adresse mél ou le même login.