98 résultats
98 résultats
Un TSP est un fournisseur de services de confiance qui fournit des certificats numériques utilisés pour authentifier et sécuriser les signatures électroniques.
Cette réponse vous a-t-elle été utile ?
La procédure de sauvegarde et de restauration doit contenir des informations détaillées sur la manière de réaliser des sauvegardes efficaces, ainsi que sur la manière de restaurer les données en cas de besoin. Cela peut inclure :
- Les acteurs de la procédure de sauvegarde et de restauration et leurs rôles (RACI) ;
- La fréquence de sauvegarde ;
- Le plan de sauvegarde mis en place par l'éditeur ;
- Le champ d'application (périmètre de la sauvegarde) ;
- Le lieu de stockage des sauvegardes ;
- Les méthodes de sauvegarde (ex: sauvegardes complètes, incrémentielles ou différentielles)
- Les règles de sécurité : les mesures de sécurité sont mises en place pour protéger les sauvegardes (ex: chiffrement des données, l'accès restreint aux sauvegardes,etc.) ;
- Les tests de récupération (champ des tests, fréquence, etc.)
Cette réponse vous a-t-elle été utile ?
Le formulaire du test d'intrusion Ségur peut être complété a posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.
Cette réponse vous a-t-elle été utile ?
L'auditeur a deux options pour signer électroniquement le formulaire :
- En utilisant une plateforme de signature électronique telle que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
- En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.
Cette réponse vous a-t-elle été utile ?
La transmission de données patient à un autre professionnel via MSSanté n'implique pas de disposer d'une identité INS qualifié. Dans le cas où l'INS du patient n'est pas qualifiée, le document transmis ne doit pas contenir l'INS et l'OID.
Cette réponse vous a-t-elle été utile ?
Le délai est à définir au cas par cas par le responsable du service numérique. Il doit être assez court pour limiter les possibilités d'accès au système par un tiers mais assez long pour ne pas forcer inutilement des authentifications intempestives.
Le compromis doit être établi en fonction des risques et des contraintes opérationnelles propres au service. La durée d'inactivité provoquant la déconnexion automatique ne devrait pas pouvoir dépasser quelques dizaines de minutes dans tous les cas.
Cette réponse vous a-t-elle été utile ?
Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.
Cette réponse vous a-t-elle été utile ?
Les ressources mises à disposition pour la réalisation du test d'intrusion sont le formulaire du test d'intrusion et le guide d'utilisation.
- Le formulaire du test d'intrusion comprend des contrôles de sécurité classés en deux catégories selon leur niveau de gravité (haute ou moyenne), et qui concernent soit tous les types d'application, soit un type d'application spécifique (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers).
- Le guide d’utilisation du formulaire du test d'intrusion fournit une vue d'ensemble détaillée des éléments nécessaires à la réalisation d'un test d'intrusion. Il couvre chaque phase du test, en tenant compte des rôles distincts de l'éditeur et de l'auditeur. Le guide fournit également des informations sur la classification des applications, ainsi que des définitions et des précisions sur certains points de contrôle du formulaire.
Cette réponse vous a-t-elle été utile ?
Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.
Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi
Cette réponse vous a-t-elle été utile ?
La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees
NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.
Cette réponse vous a-t-elle été utile ?
Vous ne trouvez pas la réponse à votre question ?
Posez nous votre question !
Besoin d'une mise en relation avec nos experts dédiés ?
