FAQ de l'offre : Ségur du numérique en santé

Les preuves sont analysées une fois que l'ensemble du chapitre est complet et soumis.

Cette exigence SC.SSI/IAM.92 définit la manière dont le système doit gérer la robustesse des mots de passe administrateurs.

Avant, le système devait permettre à la structure de santé de mettre en place une politique de mots de passe robuste s’il gérait des comptes d’administration dans sa base de compte propre. Maintenant, le système peut utiliser un Moyen d'identification électronique (MIE) sans mot de passe s’il garantit un niveau de sécurité équivalent ou supérieur, par exemple une clé FIDO.

Concrètement, la nouvelle version de l’exigence SC.SSI/IAM.92 permet de démontrer l’authentification d’un administrateur au système afin de justifier l’utilisation d’un MIE sans mot de passe (NB : les codes PIN sont proscrits).  

A noter qu'il n'y a aucune obligation pour l'éditeur, il s’agit d’une prise en compte de cas d’usage existants. 

1. Quel est le changement principal ?
Dans le scénario initial, le jeu de test utilisait un patient dont la balise « liste des prénoms » était vide.
Ce patient est désormais remplacé par : PAT-TROIS DOMINIQUE MARIE-LOUISE.

2. Concrètement, qu’est-ce que ça implique ?
• Toute référence à l’ancien patient doit être remplacée par le nouveau patient indiqué.

3. Quand appliquer ce changement ?
Dès à présent, pour l’ensemble des validations et démonstrations liées à l’exigence SC.INS/va1.72.01.

4. Quelles obligations pour l’éditeur ?
• Utiliser exclusivement le nouveau patient de test fourni.
• Adapter les preuves de tests pour les futurs dépôts sur Convergence.

Annexe – Nouveau scénario SC.INS/va1.72.01
Modification du jeu de test :
- Ancien patient (balise liste des prénoms vide) → remplacé.
- Nouveau patient à utiliser : PAT-TROIS DOMINIQUE MARIE-LOUISE.

Toutes les étapes du scénario demeurent identiques, seul le patient de test change.

Oui, un composant "EAI/librairie" non autonome intégré dans le proxy doit passer son agrément au CDNA pour obtenir sa propre homologation.

En cas d'identification d'erreurs non légitimes, vous pouvez contacter l'adresse support monserviceclient.mssante@esante.gouv.fr en précisant dans l’objet « [MOTCO2] ».

L'équipe support prendra contact avec vous après analyse des traces fournies. Eventuellement MOTCO2 devra évoluer pour prendre en charge votre spécificité.

Le délai de réponse dépend du traitement par l’équipe en charge, mais vous pouvez généralement démarrer vos développements dès la réception d’une réponse positive.

Il est conseillé de surveiller votre messagerie et l’espace de suivi pour être informé dès que l’autorisation est accordée. 

L’ensemble de la Solution Logicielle, c’est-à-dire le Composant Principal LPS, le Proxy e-Santé et les Composants Additionnels interfacés avec le Composant Principal LPS ou le Proxy e-Santé, font partie de l’Espace de Confiance PSC.

Le Composant Principal LPS et le Proxy e-Santé doivent être habilité dans l’Espace de Confiance PSC selon son rôle.​ 

L’“éditeur” et l’“opérateur” sont deux rôles distincts :​

• L’éditeur est responsable du développement et de la conformité du logiciel ou du Proxy e-Santé.​
• L’opérateur est celui qui exploite la solution (logiciel ou proxy) en production.​

Seul l’opérateur (ou un fournisseur disposant de l’habilitation Opérateur de Service Utilisateur) pourra s’enrôler pour financement auprès de l’ASP.

Il s'agit du cas d'un Proxy e-Santé tiers qui embarque des Composants Additionnels Non Autonomes (ou logiciels EAI).​

Dans le parcours Ségur, l'éditeur de la Solution Logicielle déclare qu'il utilise un Proxy e-Santé tiers et des Composants Additionnels Non Autonomes.​

Dans le parcours d'habilitation EDC PSC, l'éditeur ELU déclare qu'il utilise un Proxy e-Santé tiers.

Dans le parcours d'homologation au CNDA, l'éditeur de la Solution Logicielle déclare qu'il utilise des Composants Additionnels Non Autonomes (EAI) intégrés au Proxy e-Santé et celui-ci bénéficiera d'un plan de test adapté.

Dans ce cas, chaque Composant Principal LPS doit être homologué au CNDA et habilité EDC PSC. Le Proxy e-Santé doit seulement être habilité EDC PSC, mais pas homologué CNDA.

Attention, si des Composants Additionnels Non Autonomes sont intégrés au Proxy e-Santé, ceux-ci devront être homologués au CNDA.