FAQ des industriels

• Le Parcours Éditeur est destiné au fournisseur du logiciel. Il est limité au bac à sable (BAS) pour développer, tester et constituer le dossier d’homologation (Espace de Confiance Pro Santé Connect).
  La solution pourra être déployée en production via le parcours opérateur.
• Le Parcours Opérateur est destiné à l’établissement ou au prestataire qui exploite la solution d’un éditeur déjà homologué.
  Il s’appuie sur l’habilitation Espace de Confiance Pro Santé Connect de cet éditeur pour demander directement l’accès à la production, sans passer par le BAS.

L'outil de conformité est un outil proposé par les équipes de l'ANS permettant de vérifier la conformité du Proxy e-Santé aux exigences du référentiel, afin de faciliter le processus d'adhésion à l'Espace de Confiance.

Ses composants, prérequis ainsi que le lien pour la demande d'accès sont disponibles sur la page dédiée de l'Espace de Confiance u Portail industriels.

L'accès aux environnements de tests du CNDA est soumis à un périmètre de preuves décrits sur la page dédiée à l'Espace de Confiance du Portail Industriels.

Les tests d'intrusion détaillés selon profils, ainsi que leurs formulaires et guides d'utilisation sont mis à disposition sur la page dédiée à l'Espace de Confiance du Portail Industriels.

L'Espace de Confiance Pro Santé Connect est obligatoire pour l'ensemble des couloirs de la vague 2 à l'exception du Couloir Hôpital.

L'ensemble des preuves demandées pour se référencer Ségur Vague 2 sont détaillées dans les REM (Référentiels d'exigences minimales) spécifiques à chaque Couloir.

L'habilitation Espace de Confiance Pro Santé Connect est soumise à un certain nombre de preuves constituées :

• de preuves documentaires ; 
• d’une authentification au BAS PSC réussie ;
• des tests d'intrusion ;
• d’un passage validé à l’outil de conformité dans son état à date uniquement pour l’éditeur de logiciel proxy e-Santé.

L'ensemble des preuves sont détaillées sur la page dédiée au Référentiel PSC du Portail Industriels.

Pour rejoindre l'Espace de Confiance Pro Santé Connect, consultez l'onglet dédié sur les parcours de raccordement à PSC.

La plateforme Convergence ne comporte aucune restriction technique ou fonctionnelle quant au nombre de collaborateurs pouvant être rattachés à une ENS pour la gestion des candidatures aux guichets Espace de Confiance Pro Santé Connect. 

La personne en charge du dossier a la possibilité d’ajouter autant de collaborateurs qu’elle le souhaite, grâce à un module prévu à cet effet directement au niveau de la candidature.

Si vous effectuez un montage (utilisation d’une solution tierce déjà certifiée), vous n’avez pas à effectuer de demande de certification auprès du CNDA sauf dans le cas d'une homologation EAI, les LPS intégrant un moteur doivent obtenir une homogation auprés du CNDA. Vous pouvez communiquer à l'ANS le NIL de cette solution tierce lors de votre demande de référencement. 

Dès l'entame de votre parcours de référencement Ségur, il est nécessaire d'avoir débuté les démarches d'homologations auprès du CNDA. Votre inscription auprès du CNDA vous permettra d'obtenir des éléments nécessaires à la complétion de votre dossier administratif de votre candidature Ségur.

Les éléments attendues, à obtenir auprès du CNDA, dans le cadre du dépôt de votre dossier administratif, au sein de l'étape 2 "Eligibilité" de votre parcours Convergence sont les suivants :
- Numéro NIE / NIL (Numéro d'Identification Editeur et Numéro d'Identification Logiciel).
- Une preuve de dépôt d'une demande d'obtention des labellisations CNDA.

Pour cette dernière, vous avez la possibilité de fournir à l'ANS une copie d'écran de votre espace personnel CNDA indiquant que votre demande de conformité est au minimum au statut "Pré-examen" (exemple ci-dessous). 
 

Image

Deux références sont indispensables pour ouvrir votre dossier de référencement :Le NIE et le NIL. Ces deux références sont fournies lors de l'ouverture de votrre dossier au CNDA. Concernant le NIL, il s'agit d'un identifiant fourni lorsque vous “créez votre logiciel au CNDA”. Cet élément est alors renseigné sur la convention de Référencement ANS. Au cas où vous ne disposez pas de cette information, vous pouvez contacter la gestion Relation Client CNDA depuis votre espace personnel CNDA

Deux moyens de contact vous sont proposés :

Le test doit être daté de moins d'un an.

Le mode d'hébergement est pris en compte au niveau des exigences SSI ainsi que des points de contrôle du test d'intrusion dans le cas où un industriel ou un tiers sous sa responsabilité assure l'hébergement de tout ou partie des composants du système, ou fournit tout ou partie du système sous forme de service (SaaS).
En revanche, les OS ne sont pas pris en compte dans les exigences SSI.

Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.

La désignation des personnes responsables de la sécurité des produits nécessite les étapes suivantes :
- Identifier les exigences spécifiques de votre produit en matière de sécurité ;
- Évaluer les compétences et l'expérience des membres de votre équipe ;
- Désigner les responsabilités en matière de sécurité en fonction des compétences des membres de l'équipe ;
- Formaliser ces responsabilités dans les rôles et responsabilités de l'équipe.

Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002. 

La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment :

• Une meilleure gestion des risques de sécurité ;
• Une responsabilité claire pour les problèmes de sécurité ;
• Une amélioration de la coordination des activités de sécurité ;
• Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ;
• Une conformité aux normes de sécurité.

La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment :

• Des failles de sécurité non détectées ;
• Des retards dans la réponse aux incidents de sécurité ;
• Un manque de coordination dans la gestion des risques ;
• Une faible sensibilisation à la sécurité au sein de l'équipe.

L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.