FAQ des industriels

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.

Afin de vous familiariser avec les notions et les cadres de la e-santé, l'ANS met à disposition des entreprises les ressources suivantes, consultables en toute autonomie : 

• Une plateforme de formation : plateforme ouverte à tous (professionnels du secteur santé, usagers, étudiants, industriels…) proposant des contenus de formation qui abordent toutes les dimensions de la e-santé : le cadre règlementaire, les grands programmes nationaux, les référentiels et services socles, etc.
• Le guichet G_NIUS : guichet national de l’innovation du numérique en santé, fruit d’un travail collectif entre la délégation ministérielle au numérique en santé (DNS) et l’agence du numérique en santé (ANS) pour orienter, informer, mettre en relation l’ensemble des acteurs de la e santé, faciliter l’innovation et valoriser les réussites de terrain, notamment autour de 4 thèmes : 
  • Financement,
  • Réglementation,
  • Ecosystème,
  • Programmes nationaux.
• Les enregistrements des webinaires dispensés par l'ANS sur l'ensemble des thématiques d'expertise de l'Agence
• Des fiches synthétiques : fiches descriptives mises à disposition par l'équipe Innovation sur 7 sujets clés de la e-santé, déclinés en sous-thématiques : 
  • Interopérabilité,
  • Services socles et référentiels,
  • Conformité réglementaire,
  • Stratégie nationale,
  • Sécurité des SI,
  • Europe et international,
  • Référencement des SI.

L'offre d'accompagnement de l'ANS pour les entreprises innovantes du numérique en santé est structurée autour de 3 piliers : 

• Sensibilisation : ce pilier propose des sessions collectives ayant pour but de présenter des sujets généraux (INS, Pro Santé Connect, le référencement Mon Espace Santé, etc.), de donner une visibilité sur les évolutions et les contraintes réglementaires, et principalement de répondre aux questions des innovateurs sur les sujets d’expertise de l’ANS. Les actions menées capitalisent par ailleurs sur les contenus déjà mis à disposition par l’ANS, comme les webinaires thématiques sur le site de l’ANS, ou les contenus de e-learning de la plateforme de formation. Ce pilier repose également sur des productions spécifiques comme les fiches synthétiques qui ont vocation à servir de point d’entrée à tout acteur innovant sur chacune des thématiques d’expertise. 
• Animation : ce pilier se base sur l'organisation d’évènements formels et informels permettant de mettre en contact les experts de l’ANS et les acteurs innovants, sur des newsletters pour pousser de l'information générale (sessions organisées, actualités) auprès de l'écosystème , et sur l'animation de communautés thématiques pour répondre aux questions des innovateurs.
• Soutien et orientation : ce pilier vise à bien comprendre le positionnement et les besoins des entreprises au travers de sessions de "deep-dive" afin de personnaliser l'accompagnement de l'ANS, d'appuyer de manière spécifique les acteurs au travers de sessions thématiques individuelles selon le besoin, ou encore de soutenir plus largement les acteurs de l'écosystème sur des thématiques communes fortes au travers de meets-ups startups ou d'évènements d'envergure (type projectathon).

Le marquage CE est un prérequis à la demande de certification de conformité au référentiel DMN.

Cependant, un marquage CE conforme aux directives européennes 93/42 ou 90/385 ou 98/79 est accepté comme pièce administrative lors de la recevabilité dès lors qu'il soit en cours de validité.

Il n'est pas nécessaire d'avoir obtenu le marquage CE conformément aux règlements 2017/745 ou 2017/746.

Lors de la construction du référentiel ANS, cette question de l'impact des exigences du référentiel sur le marquage CE du DMN a effectivement été soulevée. Il est difficile de définir des règles générales d'implémentation applicables à tous les DMN pour éviter de devoir repasser le marquage CE dans la mesure où les impacts sont différents en fonction de chacun des DMN. Cependant, les différents retours des Entreprises du Numériques en Santé à ce sujet que nous avons eu, a été qu'il n'y avait au final pas d'impact au niveau du marquage CE sur leur DMN.