FAQ de l'offre : Ségur du numérique en santé

Le formulaire du test d'intrusion Ségur peut être complété à posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.

Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.

Les ressources mises à disposition pour la réalisation du test d'intrusion sont le formulaire du test d'intrusion et le guide d'utilisation.

• Le formulaire du test d'intrusion comprend des contrôles de sécurité classés en deux catégories selon leur niveau de gravité (haute ou moyenne), et qui concernent soit tous les types d'application, soit un type d'application spécifique (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers).
• Le guide d’utilisation du formulaire du test d'intrusion fournit une vue d'ensemble détaillée des éléments nécessaires à la réalisation d'un test d'intrusion. Il couvre chaque phase du test, en tenant compte des rôles distincts de l'éditeur et de l'auditeur. Le guide fournit également des informations sur la classification des applications, ainsi que des définitions et des précisions sur certains points de contrôle du formulaire.

Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.

Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Après certification, le CNDA remet à l’éditeur :

• L'attestation de conformité ;
• La lettre de référencement.

L’éditeur utilise ensuite l’attestation de conformité comme preuve de certification auprès de l’ANS.

Le format demandé dépendra du type de document que vous souhaitez transmettre. Nous vous suggérons de consulter les REM en ce qui concerne le format des documents de santé. Vous pouvez consulter l'annexe 5.3 du DSR.

L'export des données doit être réalisé sous un format standard, structuré et/ou non structuré, au choix de l’éditeur (ex : HL7 CDA, HL7 FHIR, PDF, DOC, DOCX, XML, etc.), avec une documentation détaillant la procédure à réaliser. La profondeur de l’historique doit être paramétrable dans la procédure. Le format des fichiers mis à disposition doit être lisible, exhaustif, exploitable, et documenté par l’éditeur.

Nous vous invitons à vous référer au DSR de votre couloir au chapitre 3.2.

Non, cela n'est pas interdit. Toutefois dans le cadre des échanges automatisés décrits dans les exigences, seuls sont concernés les CDA.