FAQ de l'offre : Ségur du numérique en santé

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 : 
- pour les éditeurs soumis à l'homologation Espace de Confiance ProSantéConnect, dans le cadre de l'exigence SC.PSC.14 ;
- pour le profil AHI du couloir médico-social, dans le cadre de l'exigence SC.SSI/GEN.18.
Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Oui, l'envoi de tous les documents produits dans le cadre du Ségur du numérique en santé est systématique et automatique. Cette fonctionnalité doit être paramétrée par défaut (permettant ainsi d'atteindre les objectifs d'usage pour la ROSP des médecins = avenant 9).
Néanmoins, la fonction doit être désactivable, au cas par cas, pour les patients ne souhaitant pas l'envoi systématique de leurs documents dans leur espace santé.
Par ailleurs, pour certains documents (CR de biologie, par exemple)  il est important de bien définir la visibilité du document par le patient et les autres intervenants de la prise en charge, dans le cas où une consultation d'annonce est nécessaire. (Masquer le document dans le DMP, ne pas envoyer automatiquement le document par MSSanté)

Non, les données provenant de l'annuaire santé ne sont pas modifiables. De fait, si une modification de la fiche utilisateur a lieu, il faut alors vérifier que les données entrées manuellement ne viennent pas en contradiction avec les informations de l'annuaire santé.

Néanmoins, il est bien sûr possible d’ajouter (et non pas remplacer) sur la fiche utilisateur des éléments qui ne sont pas dans l'annuaire.

Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous candidater.

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Sur la plateforme Convergence, plusieurs preuves obligatoires vont vous être demandées selon vos profils sélectionnés pour attester de la conformité votre solution logicielle aux exigences (captures d’écrans, vidéos, fichiers, logs, homologations…). Le dépôt des preuves se fait par chapitre selon la catégorisation proposée dans Convergence et indiquée dans le REM. Vous pourrez également suivre vos dépôts de preuves chapitre par chapitre.