FAQ de l'offre : Ségur du numérique en santé

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Le passage sur l'Espace de test interopérabilité pour la DRIMBox et Proxy e-santé illustrés au travers du schéma mentionné en section 4.1 du DSR DRIMBox illustrent le fait que ceux-ci pourront être initiés et déroulés en parallèle afin que l'obtention des habilitations à l'espace de confiance PSC du LPS et du Proxy e-santé soient finalisées au moment de l'instruction du dossier Segur.

En vague 2 RIS et DRIMbox, la démarche d'homologation de la solution auprès du CNDA est obligatoire, qu'elle utilise des composants additionnels ou non pour l'intégration des services INS, ApCV ou DMP.

L'homologation CNDA est-elle obligatoire dans le cas de l'intégration de services tiers INS, MSSanté et DMP avec notre solution ?

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Sur la plateforme Convergence, plusieurs preuves obligatoires vont vous être demandées selon vos profils sélectionnés pour attester de la conformité votre solution logicielle aux exigences (captures d’écrans, vidéos, fichiers, logs, homologations…). Le dépôt des preuves se fait par chapitre selon la catégorisation proposée dans Convergence et indiquée dans le REM. Vous pourrez également suivre vos dépôts de preuves chapitre par chapitre.

L'objectif du projet DRIM-M (Data Radiologie Imagerie Médicale & Médecine Nucléaire) est de proposer une architecture basée sur un maillage national de DRIMbox permettant d'aller chercher les images médicales là où elles se trouvent, et de permettre : 

• Aux Professionnels de Santé exploitant de l'imagerie, spécialistes et radiologues et médecins nucléaires, d'afficher et d'importer l'examen dans leurs environnements de travail afin de réaliser des comparaisons, des reconstructions et du post-traitement
• Aux Professionnels de Santé et/ou patients, de visualiser un examen se rapportant au compte-rendu d'imagerie médicale à partir d'un lien intégré au document.

A travers le projet DRIM-M, chaque service et cabinet de radiologie producteur d'imagerie médicale devient un noeud du réseau DRIM-M : la structure d'imagerie partage des images via une passerelle nommée "DRIMbox" spécifiée par le projet.