FAQ des industriels

• Le Parcours Éditeur est destiné au fournisseur du logiciel. Il est limité au bac à sable (BAS) pour développer, tester et constituer le dossier d’homologation (Espace de Confiance Pro Santé Connect).
  La solution pourra être déployée en production via le parcours opérateur.
• Le Parcours Opérateur est destiné à l’établissement ou au prestataire qui exploite la solution d’un éditeur déjà homologué.
  Il s’appuie sur l’habilitation Espace de Confiance Pro Santé Connect de cet éditeur pour demander directement l’accès à la production, sans passer par le BAS.

L'outil de conformité est un outil proposé par les équipes de l'ANS permettant de vérifier la conformité du Proxy e-Santé aux exigences du référentiel, afin de faciliter le processus d'adhésion à l'Espace de Confiance.

Ses composants, prérequis ainsi que le lien pour la demande d'accès sont disponibles sur la page dédiée de l'Espace de Confiance u Portail industriels.

L'accès aux environnements de tests du CNDA est soumis à un périmètre de preuves décrits sur la page dédiée à l'Espace de Confiance du Portail Industriels.

Les tests d'intrusion détaillés selon profils, ainsi que leurs formulaires et guides d'utilisation sont mis à disposition sur la page dédiée à l'Espace de Confiance du Portail Industriels.

L'Espace de Confiance Pro Santé Connect est obligatoire pour l'ensemble des couloirs de la vague 2 à l'exception du Couloir Hôpital.

L'ensemble des preuves demandées pour se référencer Ségur Vague 2 sont détaillées dans les REM (Référentiels d'exigences minimales) spécifiques à chaque Couloir.

L'habilitation Espace de Confiance Pro Santé Connect est soumise à un certain nombre de preuves constituées :

• de preuves documentaires ; 
• d’une authentification au BAS PSC réussie ;
• des tests d'intrusion ;
• d’un passage validé à l’outil de conformité dans son état à date uniquement pour l’éditeur de logiciel proxy e-Santé.

L'ensemble des preuves sont détaillées sur la page dédiée au Référentiel PSC du Portail Industriels.

Pour rejoindre l'Espace de Confiance Pro Santé Connect, consultez l'onglet dédié sur les parcours de raccordement à PSC.

La plateforme Convergence ne comporte aucune restriction technique ou fonctionnelle quant au nombre de collaborateurs pouvant être rattachés à une ENS pour la gestion des candidatures aux guichets Espace de Confiance Pro Santé Connect. 

La personne en charge du dossier a la possibilité d’ajouter autant de collaborateurs qu’elle le souhaite, grâce à un module prévu à cet effet directement au niveau de la candidature.

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Les DMN de télésurveillance ne répondant pas aux cinq lignes génériques (diabète, insuffisance rénale, insuffisance respiratoire, insuffisance cardiaque et prothèses cardiaques implantables) peuvent s'inscrire en nom de marque pour bénéficier d'une prise en charge par l'Assurance Maladie.

La Haute Autorité de Santé (HAS) a publié des référentiels pour les 5 pathologies chroniques suivantes : diabète, insuffisance rénale chronique, insuffisance respiratoire chronique, insuffisance cardiaque chronique, prothèses cardiaques implantables à visée thérapeutique. 

Les DMN de télésurveillance qui traitent ces pathologies sont concernés par la certification de conformité en ligne générique.

Vous pouvez soumettre une candidature sur plusieurs lignes génériques. Toutefois, vous devez vous assurer de répondre à l’ensemble des exigences techniques HAS de ces profils. En effet, il y aura un seul certificat pour la validation de conformité pour l’ensemble des lignes génériques. 

Il est aussi possible de déposer une candidature par ligne générique. Cela peut être intéressant en fonction de l'architecture du DMN, si un module lié à une pathologie évolue de façon distincte. Dans le cas d'une évolution impactant uniquement un module, seule la candidature impactée serait à resoumettre.

La demande de certification est à déposer sur la plateforme Convergence, dans le parcours ligne générique.

Les DMN qui candidatent pour une prise en charge en ligne générique sont soumis :

• au référentiel d'interopérabilité et de sécurité des DMN ;
• aux spécifications techniques de la HAS relatives aux 5 pathologies expérimentées dans le programme ETAPES (diabète, insuffisance cardiaque, insuffisance respiratoire, insuffisance rénale et prothèses cardiaques implantables), selon la ou les pathologies couvertes par ces DMN.