FAQ des industriels

Le ministère a lancé un portail de signalement des événements sanitaires indésirables destinés aux particuliers, professionnels de santé, et entreprises. 

Le CERT Santé assure le traitement des signalements des incidents de sécurité les jours ouvrés de 9h à 18h. En dehors de ces heures, il est possible de contacter l’ANSSI.

CERT Santé
+33 (0)9 72 43 91 25
Agence du Numérique en Santé
2-10 Rue d'Oradour-sur-Glane
75015 Paris

Oui. L’ANS met à votre disposition sa plateforme de formation e-santé, avec plusieurs vidéos d'accompagnement concernant la cybersécurité. Vous y trouverez, notamment, comment demander un audit de cybersurveillance, comment signaler un incident grave de sécurité SI, comment améliorer vos mots de passe, ou comment identifier les emails malveillants.

L'ensemble des preuves à soumettre pour démontrer la conformité à la section MSS doit impérativement provenir de la solution candidate elle-même. Exception faite des preuves MSS.02, MSS.17 & MSS.27 : les lignes de codes peuvent être reprises de l'éditeur de la solution tierce. Les identifiants des traces et des logs (…) produits lors de la validation de la conformité au référentiel socle MSSanté #2 doivent être ceux de la solution candidate au référencement TLC.

L’exigence MSS.02 est la suivante : "Le client de messageries MSSanté du Système DOIT vérifier que le certificat présenté par l’opérateur MSSanté n’est pas expiré, "conformément au référentiel socle MSSanté #2 (Clients de Messageries Sécurisées de Santé) [MSS1]." 

Pour répondre à l’exigence MSS.02, le candidat peut transmettre l’identifiant d’exécution du cas de test réalisé dans le cadre de l’exigence MSS.10.

La doctrine du numérique en santé identifie plusieurs référentiels de données qui chacun portent une finalité distincte :

• le RPPS étendu (ou RPPS+) afin de porter l'identification de toutes les personnes physiques dans leur rôle d'acteur de santé (tout type de professionnel ou assistant du secteur) ;
• le FINESS refondu (ou FINESS+) afin de porter l'identification de toutes les personnes morales de santé (tout établissement et entité juridique du secteur) ;
• le ROR afin de décrire l'offre de santé au sein d'un établissement (spécialités, capacités) ou d'un cabinet.

Dans le cadre de la découverte d’une vulnérabilité ou d’un incident de sécurité d’origine malveillante, les industriels sont invités à en informer le CERT Santé qui pourra leur apporter une assistance dans les mesures de remédiation à mettre en œuvre. Le CERT Santé pourra également apporter un appui dans les actions de communication vers les structures.

Le terme échange désigne tout ce qui est en lien avec les services de messagerie : les données transitent vers une ou plusieurs destination(s) identifiée(s).

Le terme partage regroupe les activités de stockage des données et la gestion des accès à celle-ci : les données sont à un seul endroit et sont consultées par plusieurs acteurs non identifiés lors de la mise en partage (contrairement à l’échange avec plusieurs destinataires).

La certification remplace l’agrément.

Elle repose sur un référentiel et une procédure de certification :

• un organisme certificateur procède à l’évaluation de la conformité au référentiel ;
• il délivre un certificat de conformité pour une durée de 3 ans.

Les dossiers de demande d’agrément déposés avant le 31 mars 2018 sont instruits selon l’ancienne procédure.

Un identifiant calculé (INS-C), attribué au travers d’un algorithme à partir d’informations lues à partir de la carte Vitale de l’assuré, a d’abord été utilisé de façon transitoire dans l'attente de l'évolution des textes permettant l'utilisation d'un identifiant adapté.

L'évolution des textes permet aujourd’hui la mise en œuvre de l’INS (Identité Nationale de Santé). L’INS-C est donc remplacé par l'INS c'est à dire le NIR et les cinq traits d'identité qualifiés (nom de naissance, prénom(s), date de naissance, sexe, lieu de naissance).