FAQ des industriels

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

L’identifiant national se trouve sur la première ligne de votre CPx et se compose de 12 chiffres : 

• en 1^ère position, le chiffre "8" ;
• suivi des 11 chiffres de votre numéro RPPS.

Image

Le référentiel d’imputabilité définit les moyens utilisables pour :

• assurer la traçabilité des actions réalisées vis-à-vis d’un SI de santé ;
• garantir la valeur des traces enregistrées ;
• contrôler l’usage fait de ce SI de santé.

Vous disposez de deux moyens de recherche sur le site de l’annuaire santé : 

• une recherche par mots-clés (Qui ? Quoi ? Où ?) qui vous permet de trouver les professionnels de santé et les établissements correspondants ;
• une recherche avancée par critères détaillés (profession, spécialité ordinale, compétence, identifiant, lieu d'exercice...) qui vous permet de cibler la recherche soit sur les professionnels de santé, soit sur les établissements. 

L'accès restreint s'effectue en cliquant sur "connectez-vous" du site de l’annuaire santé.

Une authentification par carte de la famille CPS est requise :

• si vous êtes porteur d'une carte de Directeur d'établissement (CDE) ou d'une carte de professionnel de santé (CPS) exerçant en libéral, vous pouvez automatiquement accéder aux informations auxquelles vous avez droit (cf article 7 de l'arrêté du 6 février 2009 modifié) ;
• dans les autres cas, l'accès par carte CPx nécessite un enrôlement préalable par l'ANS. Vous devez remplir une fiche de demande de droits d'accès au RPPS et préciser le numéro de votre carte CPx.

Par ailleurs, pour pouvoir vous authentifier par carte de la famille CPS, vous devez disposer d'un lecteur de carte et avoir installé sur votre poste les composants nécessaires à l'accès à la carte. Ces composants sont disponibles sur l'espace CPS. Pour les professionnels de santé, la configuration requise pour l'accès au DMP permet d'accéder à l'annuaire santé. En cas de problème, vous pouvez vérifier la configuration de votre poste accédant à l'outil de diagnostic des postes.

Une fois authentifié, vous visualisez toutes les informations sur les professionnels de santé autorisées pour votre catégorie d'utilisateur (en consultation ou en extraction). 

Si vous disposez de plusieurs profils, il vous sera demandé au titre de quel profil vous souhaitez accéder au service.

Les traces fonctionnelles rendent compte des actions métier de tous les utilisateurs au sein du produit.

Le contenu de ces traces est propre à chaque application et doit rendre compte de façon explicite de l’action fonctionnelle métier réalisée.

Ces traces sont générées par le produit à l’occasion d’événements significatifs comme :

• la connexion à l’application ;
• le dépôt d’un document dématérialisé ;
• l’envoi d’un message électronique ;
• la diffusion d'une identité validée ;
• la création d'une note de visite ;
• la consultation des bonnes pratiques sur la prise en charge d'un patient polypathologique.

La PGSSI-S est un ensemble de référentiels d’exigences et de guides de bonnes pratiques qui constitue un cadre commun de sécurité des SI du secteur de la santé.

L’espace « Politique générale de sécurité des systèmes d’information de santé » sur le site de l’ANS présente de façon détaillée l’ensemble du corpus.

Le référentiel de force probante des documents de santé vise à décrire les moyens nécessaires à assurer la valeur probante des documents de santé.

Pour tous les produits qui produisent ou modifient des documents de santé il est nécessaire de se référer à ce référentiel.