FAQ de l'offre : Ségur du numérique en santé

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Sur la plateforme Convergence, plusieurs preuves obligatoires vont vous être demandées selon vos profils sélectionnés pour attester de la conformité votre solution logicielle aux exigences (captures d’écrans, vidéos, fichiers, logs, homologations…). Le dépôt des preuves se fait par chapitre selon la catégorisation proposée dans Convergence et indiquée dans le REM. Vous pourrez également suivre vos dépôts de preuves chapitre par chapitre.

L’éditeur doit impérativement fournir les informations CNDA suivantes :

• Numéro d’Identification Éditeur (NIE) délivré par le CNDA
• Numéro d’Identification Logiciel (NIL) délivré par le CNDA

La solution doit obtenir l’agrément du CNDA conformément à l'addendum 8 du cahier des charges SESAM-Vitale [APCV1] ​

Accompagnement à la contractualisation : contact.cnda@assurance-maladie.fr
Support technique :  support.cnda@assurance.maladie.fr

Pour ouvrir votre dossier de référencement, deux références sont indispensables : le NIE et le NIL.

Ces références sont fournies lors de l’ouverture de votre dossier au CNDA.

Le NIL est attribué lorsque vous « créez votre logiciel » au CNDA et figure sur la convention de Référencement ANS.

Si vous ne disposez pas de ces informations, vous pouvez contacter la Gestion Relation Client CNDA via votre espace personnel CNDA.

Après certification, le CNDA remet à l’éditeur :

• L'attestation de conformité ;
• La lettre de référencement.

L’éditeur utilise ensuite l’attestation de conformité comme preuve de certification auprès de l’ANS.