FAQ de l'offre : Ségur du numérique en santé

Le formulaire du test d'intrusion Ségur peut être complété à posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.

Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.

Les ressources mises à disposition pour la réalisation du test d'intrusion sont le formulaire du test d'intrusion et le guide d'utilisation.

• Le formulaire du test d'intrusion comprend des contrôles de sécurité classés en deux catégories selon leur niveau de gravité (haute ou moyenne), et qui concernent soit tous les types d'application, soit un type d'application spécifique (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers).
• Le guide d’utilisation du formulaire du test d'intrusion fournit une vue d'ensemble détaillée des éléments nécessaires à la réalisation d'un test d'intrusion. Il couvre chaque phase du test, en tenant compte des rôles distincts de l'éditeur et de l'auditeur. Le guide fournit également des informations sur la classification des applications, ainsi que des définitions et des précisions sur certains points de contrôle du formulaire.

Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.

Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

L'objectif du projet DRIM-M (Data Radiologie Imagerie Médicale & Médecine Nucléaire) est de proposer une architecture basée sur un maillage national de DRIMbox permettant d'aller chercher les images médicales là où elles se trouvent, et de permettre : 

• Aux Professionnels de Santé exploitant de l'imagerie, spécialistes et radiologues et médecins nucléaires, d'afficher et d'importer l'examen dans leurs environnements de travail afin de réaliser des comparaisons, des reconstructions et du post-traitement
• Aux Professionnels de Santé et/ou patients, de visualiser un examen se rapportant au compte-rendu d'imagerie médicale à partir d'un lien intégré au document.

A travers le projet DRIM-M, chaque service et cabinet de radiologie producteur d'imagerie médicale devient un noeud du réseau DRIM-M : la structure d'imagerie partage des images via une passerelle nommée "DRIMbox" spécifiée par le projet. 

Cette habilitation est exigée pour toute demande de financement de prestation principale Ségur vague2 DRIMbox auprès de l'ASP. En tant qu'opérateur de la solution Ségur en production, le distributeur doit donc demander l'habilitation Opérateur de service utilisateur Espace de Confiance Pro Santé Connect pour la solution qu'il déploie et opère chez ses clients. 
Néanmoins, un distributeur revendeur pur qui s'appuie sur l'éditeur pour le déploiement et les opérations en production chez ses clients, pourra utiliser l'habilitation opérateur de service utilisateur Pro Santé Connect de l'éditeur dès lors que celui-ci l'y autorise. Cette autorisation devra faire l'objet d'une mention dans le mandat demandée par l'ASP au distributeur au moment de l'enrôlement. Par exemple : "Dans la mesure où les Prestation Ségur sont réalisées techniquement par l’Editeur, L’Editeur autorise le Distributeur à disposer, dans le cadre des demandes d’avance SONS-IMG-DB-va2, de l'habilitation « Opérateur de service utilisateur » de l’Espace de confiance Pro Santé Connect (EDC PSC), obtenue par l'Editeur pour la Solution."

Dès le début du parcours de référencement Ségur pour DRIMBOX, il est nécessaire d’avoir inscrit votre solution :

• Au guichet CNDA pour obtenir les Numéros NIE / NIL (Numéro d’Identification Éditeur et Numéro d’Identification Logiciel), ainsi que le NIL des composants additionnels si nécessaire.
• Au guichet Espace de Confiance Pro Santé Connect (Convergence) pour obtenir le Numéro Unique de Référencement (NRU) en tant qu’Éditeur de Logiciel Utilisateur et/ou de Logiciel Proxy e-Santé.

Ces informations seront demandées lors de l’étape d’éligibilité du dossier administratif du parcours Ségur.

Attention : Le référencement Ségur ne pourra être attribué que si toutes les preuves demandées dans le DSR choisi sont déposées et conformes, et que toutes les homologations CNDA nécessaires sont obtenues.

Nous vous recommandons également de consulter le chapitre 4 du DSR choisi, qui détaille l’avancement attendu des candidatures à l’approche des différents jalons réglementaires.