FAQ des industriels

L'ensemble des preuves à soumettre pour démontrer la conformité à la section MSS doit impérativement provenir de la solution candidate elle-même. Exception faite des preuves MSS.02, MSS.17 & MSS.27 : les lignes de codes peuvent être reprises de l'éditeur de la solution tierce. Les identifiants des traces et des logs (…) produits lors de la validation de la conformité au référentiel socle MSSanté #2 doivent être ceux de la solution candidate au référencement TLC.

L’exigence MSS.02 est la suivante : "Le client de messageries MSSanté du Système DOIT vérifier que le certificat présenté par l’opérateur MSSanté n’est pas expiré, "conformément au référentiel socle MSSanté #2 (Clients de Messageries Sécurisées de Santé) [MSS1]." 

Pour répondre à l’exigence MSS.02, le candidat peut transmettre l’identifiant d’exécution du cas de test réalisé dans le cadre de l’exigence MSS.10.

Ce logiciel permet l'interfaçage entre des applications informatiques telles que le Portail médecins Vivoptim et la carte CPS.

Pour indiquer que l'entreprise ou un produit a participé à un connectathon, il est possible d'utiliser les champs de saisie libre comme :

• le champ « certifications » du questionnaire d’identification (étape 1) de l’ajout d’un produit ;
• les espaces de commentaires dans le questionnaire « Interopérabilité ».

La plateforme vise à mesurer les capacités techniques des produits.

Ainsi, si un produit propose plusieurs interfaces dont certaines interopérables, il est conseillé d'indiquer le niveau de maturité associé aux interfaces interopérables que celles-ci soient utilisées ou non.

Si un usage n'est pas couvert par le CI-SIS, il est possible de répondre en indiquant que les critères de maturité sont non applicables et signalant à l'ANS que le cas d'usage n'est pas couvert via :

• l’espace de commentaire dans le questionnaire ;
• la complétion d'un formulaire d'expression des besoins disponible sur le site de l’agence du numérique en santé.

En effet, lorsqu'un produit est DMP compatible, l'interface avec le DMP est mise en œuvre dans le respect des spécifications du CI-SIS selon les distinctions suivantes pour les 3 profils.

DMP compatibilité pour le profil « Administration », indiquez :

• dans les questions de qualification, que le produit est une infrastructure de partage de documents de santé ;
• dans le questionnaire « Interopérabilité », que le produit atteint le niveau vert à la question A08.4.3 Mise en œuvre interopérable du service Gestion de Dossiers Patient Partagés.

DMP compatibilité pour le profil « Alimentation », indiquez :

• dans les questions de qualification, que le produit interagit avec une infrastructure de partage de documents de santé,
• dans le questionnaire « Interopérabilité », indiquez que :
  • le produit atteint le niveau vert à la question A08.3.1 Connexion synchrone avec d'autres SI,
  • le produit atteint le niveau vert à la question A08.4.1 Mise en œuvre interopérable du service Partage de Documents de Santé,
  • le produit atteint le niveau vert à la question A08.5.01 Partage et/ou échange de documents (producteur de documents CDA) - structuration minimale (sauf si c'est un connecteur qui prend les documents produits par d'autres).

DMP compatibilité pour le profil « Consultation », indiquez :

• dans les questions de qualification, que le produit interagit avec une infrastructure de partage de documents de santé,
• dans le questionnaire « Interopérabilité », indiquez que :
  • le produit atteint le niveau vert à la question A08.3.1 Connexion synchrone avec d'autres SI,
  • le produit atteint le niveau vert à la question A08.4.1 Mise en œuvre interopérable du service Partage de Documents de Santé,
  • le produit atteint au moins le niveau jaune à la question A08.5.23 Partage et/ou échange de documents (consommateur de documents CDA) - structuration minimale.

La doctrine du numérique en santé identifie le Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) comme le référentiel qui fixe les règles d’une informatique de santé communicante en spécifiant les flux entre les systèmes d’information de santé.

La plateforme Convergence mesure donc le respect des volets du cadre d'interopérabilité actuellement publiés et qui portent principalement sur les échanges extrahospitaliers.

Pour pouvoir s’authentifier et accéder au téléservice INSi, il est obligatoire, à l’heure actuelle, d’être doté d’une carte CPx nominative. Trois types de CPx fonctionnent : la CPS, la CPE et la CPF.

Une fois la Cryptolib CPS installée et la WebExtension CPS activée dans Firefox, il est nécessaire d'appliquer la configuration suivante à ce navigateur :

• saisissez about:config dans la barre d'adresse ;
• sélectionnez Accepter le risque et poursuivre ;
• saisissez osclient dans la barre de recherche ;
• positionnez la valeur du paramètre security.osclientcerts.autoload à false.

Les cartes CPx produites avant décembre 2020  ont une puce sans contact protégée en écriture.

Les nouvelles cartes CPS R3V3 produites depuis décembre 2020 embarquent une puce Mifare Desfire. Ces cartes permettent de stocker des secrets (clé cryptographique pour le protocole Mifare Desfire).

Toutes les informations sont disponibles dans le Guide de mise en œuvre de la partie sans contact des cartes CPx.

Il existe un point de vigilance sur les données que l’on écrit dans la zone de la puce autorisée en écriture.

Il est fortement déconseillé d’utiliser cette zone de la puce autorisée en écriture pour stocker des droits d’accès. L'ANS conseille l’utilisation de l’ANSSI, qui préconise les usages en mode connecté avec un lecteur « transparent » qui ne participe pas au protocole cryptographique lors de l’authentification du badge. Seule l’unité de Traitement Logique (UTL) participe au protocole cryptographique.

L’ANSSI déconseille les configurations avec un badge « intelligent » qui permet une double authentification en coupure avec l’UTL.

Toutes les recommandations sur la sécurisation des systèmes de contrôle d'accès physique et de vidéoprotection sont disponibles dans le guide des "Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection"