FAQ de l'offre : Ségur du numérique en santé

Afin de vérifier l'exactitude d'une adresse email, il y a deux grands types de méthode :

• envoyer un code numérique ou alphanumérique (lettres majuscules et chiffres) sur l'adresse email, et demander au professionnel de saisir cette valeur dans un formulaire ;
• envoyer un lien unique (URL générée spécifiquement pour ce cas d'usage) sur l'adresse email, et déclencher la validation de cette adresse email lorsqu'une connexion est ouverte sur l'URL transmise.

Afin de vérifier l'exactitude d'un numéro de téléphone, il est généralement envoyé un code numérique de 4 ou 6 chiffres par SMS sur ce numéro et le professionnel doit le ressaisir dans un formulaire.

Cette vérification doit avoir lieu au moment de la création du compte ou de la modiifcation de la coordonnée. En l'absence de vérification effective, la coordonnée ne pourra pas être utilisée car étant potentiellement invalide.

L'exigence a pour objectif de vérifier si une sensibilisation générale aux enjeux et aux risques à la SSI est menée auprès des équipes du système (équipes de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance, de support, etc.). Il est préconisé d'effectuer cette sensibilisation à minima annuellement pour l'ensemble des équipes et pour chaque nouvel arrivant. Cette sensibilisation peut être effectuée par des équipes de l'éditeur ou des prestataires qu'il choisit librement.
Dans le cas où le système est destiné à traiter des données à caractère personnel, alors la sensibilisation doit intégrer des obligations légales (en particulier le règlement général sur la protection des données) ainsi que des réglementations applicables.

Des recommandations sur la désignation des responsabilités en matière de sécurité sont fournies dans diverses ressources, notamment le guide d'hygiène de l'ANSSI, la PGSSI-S de l'ANS et la norme ISO 27002. 

Dans le cadre de l’exigence de traçabilité et afin de pouvoir investiguer en cas d’incident de sécurité, la durée de conservation minimale est de 6 mois. Cette durée de conservation peut généralement aller jusqu’à deux ou trois ans. Elle est à déterminer au cas par cas, en se référant aux préconisations de la CNIL.

Le numéro RRPS doit être utilisé lorsqu’il existe. Lorsqu’il n’existe pas et qu’un autre numéro national est disponible, l’utilisation de cet autre numéro est tolérée. 

Il est demandé qu’une fréquence de sauvegarde des données soit prévue dans la documentation, mais aucune fréquence n’est définie pour cette exigence.  
Il convient à chaque éditeur de définir ce qui est acceptable au regard du contexte d’utilisation de sa solution.   
Selon l’ANSSI, une stratégie de sauvegarde doit notamment tenir compte de la perte de données maximale admissible (PDMA) et de la durée maximale d’interruption admissible (DMIA) définies pour l’ensemble des valeurs métier du SI de l’entité (applications, données). 

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.