FAQ des industriels

• Le Parcours Éditeur est destiné au fournisseur du logiciel. Il est limité au bac à sable (BAS) pour développer, tester et constituer le dossier d’homologation (Espace de Confiance Pro Santé Connect).
  La solution pourra être déployée en production via le parcours opérateur.
• Le Parcours Opérateur est destiné à l’établissement ou au prestataire qui exploite la solution d’un éditeur déjà homologué.
  Il s’appuie sur l’habilitation Espace de Confiance Pro Santé Connect de cet éditeur pour demander directement l’accès à la production, sans passer par le BAS.

L'outil de conformité est un outil proposé par les équipes de l'ANS permettant de vérifier la conformité du Proxy e-Santé aux exigences du référentiel, afin de faciliter le processus d'adhésion à l'Espace de Confiance.

Ses composants, prérequis ainsi que le lien pour la demande d'accès sont disponibles sur la page dédiée de l'Espace de Confiance u Portail industriels.

L'accès aux environnements de tests du CNDA est soumis à un périmètre de preuves décrits sur la page dédiée à l'Espace de Confiance du Portail Industriels.

Les tests d'intrusion détaillés selon profils, ainsi que leurs formulaires et guides d'utilisation sont mis à disposition sur la page dédiée à l'Espace de Confiance du Portail Industriels.

L'Espace de Confiance Pro Santé Connect est obligatoire pour l'ensemble des couloirs de la vague 2 à l'exception du Couloir Hôpital.

L'ensemble des preuves demandées pour se référencer Ségur Vague 2 sont détaillées dans les REM (Référentiels d'exigences minimales) spécifiques à chaque Couloir.

L'habilitation Espace de Confiance Pro Santé Connect est soumise à un certain nombre de preuves constituées :

• de preuves documentaires ; 
• d’une authentification au BAS PSC réussie ;
• des tests d'intrusion ;
• d’un passage validé à l’outil de conformité dans son état à date uniquement pour l’éditeur de logiciel proxy e-Santé.

L'ensemble des preuves sont détaillées sur la page dédiée au Référentiel PSC du Portail Industriels.

Pour rejoindre l'Espace de Confiance Pro Santé Connect, consultez l'onglet dédié sur les parcours de raccordement à PSC.

La plateforme Convergence ne comporte aucune restriction technique ou fonctionnelle quant au nombre de collaborateurs pouvant être rattachés à une ENS pour la gestion des candidatures aux guichets Espace de Confiance Pro Santé Connect. 

La personne en charge du dossier a la possibilité d’ajouter autant de collaborateurs qu’elle le souhaite, grâce à un module prévu à cet effet directement au niveau de la candidature.

Si vous êtes une entreprise innovante du secteur de la e-santé, vous pouvez nous contacter afin que nous puissions analyser vos besoins et vous faire un retour sur notre capacité à vous appuyer, que ce soit au travers de l'offre d'accompagnement Innovation ou des autres accompagnements proposés par l'ANS. Afin que nous puissions vous recontacter dans les plus brefs délais, adressez-nous une demande par mail à l'adresse innovation@esante.gouv.fr en précisant les éléments suivants :

• Nom de la société
• Date de création
• Description du/des produit(s) et de son statut (recherche/conception/commercialisation/déploiement à l'international/...)
• Principaux besoins relatifs au numérique en santé (interopérabilité, cybersécurité, etc.)

L'offre d'accompagnement de l'équipe Innovation de l'ANS s'adresse aux entreprises innovantes (startups, PME, etc. proposant un nouveau service) du numérique en santé implantées sur le territoire. Les entreprises adressées en priorité par cette offre sont les entreprises proposant un service numérique à destination du professionnel de santé, du patient ou d'un acteur de santé, échangeant des données de santé, et dont le produit est en conception/développement, finalisé ou déjà en phase de déploiement. Cet accompagnement spécifique est en effet davantage pertinent auprès des entreprises ayant passé une phase amont de recherche. 

Le premier point de contact pour vous assurer de la pertinence de cette offre est l'Espace Authentifié ou via l'adresse innovation@esante.gouv.fr, qui vous proposera une séance de deep-dive pour apprendre à se connaitre. Les rencontres en présentiel sont privilégiées, cependant elles peuvent être menées en distanciel pour les entreprises n'étant pas basées à Paris.

L'ANS soutient le déploiement des entreprises innovantes qu'elle accompagne sur ses sujets d'expertise. Au-delà des contenus déjà disponibles et des sessions collectives générales organisées tout au long de l'année, l'équipe Innovation organise ainsi pour les entreprises innovantes qui maîtrisent déjà les fondamentaux sur certains sujets des sessions individuelles avec des experts de l'ANS, afin de répondre aux questions et consolider une stratégie d'approche pertinente.

Si vous découvrez le sujet, l'ANS met déjà à votre disposition une plateforme de formation, les enregistrements de webinaires ou encore des fiches synthétiques d'initiation aux sujets du numérique en santé.

Pour toute question relative à votre accompagnement en tant qu'entreprise innovante et les sessions individuelles de ce type, vous pouvez formuler votre demande à innovation@esante.gouv.fr. 

Votre entreprise ne bénéficie pas encore de l'offre d'accompagnement de l'équipe innovation de l'ANS ?

Les liens d'inscription aux sessions collectives dispensées par l'ANS sont partagés régulièrement via LinkedIn ou l'agenda d'e-santé. Suivez-nous sur Linkedin pour rester informés ! 

Votre entreprise innovante bénéficie de l'offre d'accompagnement de l'équipe innovation de l'ANS ? 

Une fois que votre entreprise innovante est accompagnée à travers de cette offre Innovation, si vous y êtes inscrits, vous recevez deux fois par mois une NewsLetter listant les actualités de la e-santé ainsi que les formations proposées par l'ANS. Pour vous inscrire aux formations dispensées par les experts de l'ANS, il vous suffit de suivre les liens partagés dans le mail. En tant que bénéficiaire de l'offre d'accompagnement, vous pouvez-également bénéficier de sessions individuelles avec un expert sur des sujets d'expertise de l'ANS (cybersécurité, interopérabilité, ...). Les liens d'inscription sont également disponibles dans la Newsletter !

Le test doit être daté de moins d'un an.

Le mode d'hébergement est pris en compte au niveau des exigences SSI ainsi que des points de contrôle du test d'intrusion dans le cas où un industriel ou un tiers sous sa responsabilité assure l'hébergement de tout ou partie des composants du système, ou fournit tout ou partie du système sous forme de service (SaaS).
En revanche, les OS ne sont pas pris en compte dans les exigences SSI.

Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.

La désignation des personnes responsables de la sécurité des produits nécessite les étapes suivantes :
- Identifier les exigences spécifiques de votre produit en matière de sécurité ;
- Évaluer les compétences et l'expérience des membres de votre équipe ;
- Désigner les responsabilités en matière de sécurité en fonction des compétences des membres de l'équipe ;
- Formaliser ces responsabilités dans les rôles et responsabilités de l'équipe.

Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002. 

La désignation d'acteurs responsables de la sécurité apporte plusieurs avantages, notamment :

• Une meilleure gestion des risques de sécurité ;
• Une responsabilité claire pour les problèmes de sécurité ;
• Une amélioration de la coordination des activités de sécurité ;
• Une sensibilisation accrue à la sécurité au sein de l'équipe de développement ;
• Une conformité aux normes de sécurité.

La négligence dans la désignation des responsables de la sécurité peut entraîner un certain nombre de risques, notamment :

• Des failles de sécurité non détectées ;
• Des retards dans la réponse aux incidents de sécurité ;
• Un manque de coordination dans la gestion des risques ;
• Une faible sensibilisation à la sécurité au sein de l'équipe.

L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.