FAQ de l'offre : Ségur du numérique en santé

Le choix du responsable de la sécurité dépend de la structure de l'éditeur. Cela implique d'identifier les personnes qui ont les compétences et l'expertise pour prendre en charge la sécurité de la solution. Il peut s'agir de responsables sécurité, de développeurs sécurité expérimentés, d'architectes sécurité, etc.

Pour être évaluées, les preuves doivent être déposées sur Convergence dans un conteneur ZED garantissant l'intégrité et la confidentialité des documents. Ces preuves sont consultées par les vérificateurs uniquement.

Les preuves demandées sont majoritairement de la documentation spécifique à chaque exigence, une attestation sur l'honneur, ainsi que le formulaire du test d'intrusion en particulier pour l'exigence SC.SSI/GEN.18. Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.

La procédure de sauvegarde et de restauration doit contenir des informations détaillées sur la manière de réaliser des sauvegardes efficaces, ainsi que sur la manière de restaurer les données en cas de besoin. Cela peut inclure :

• Les acteurs de la procédure de sauvegarde et de restauration et leur rôles (RACI) ;
• La fréquence de sauvegarde ;
• Le plan de sauvegarde mis en place par l'éditeur ;
• Le champ d'application (périmètre de la sauvegarde) ;
• Le lieu de stockage des sauvegardes ;
• Les méthodes de sauvegarde (ex: sauvegardes complètes, incrémentielles ou différentielles)
• Les règles de sécurité : les mesures de sécurité sont mises en place pour protéger les sauvegardes (ex: chiffrement des données, l'accès restreint aux sauvegardes,etc.) ;
• Les tests de récupération (champ des tests, fréquence, etc.) 

Les principaux objectifs de la procédure de sauvegarde et de restauration sont de garantir la disponibilité des données essentielles en cas de défaillance du système, de perturbation ou de perte de données.
Cette procédure contribue à la sécurité des solutions en minimisant les risques de perte de données critiques. Elle permet de restaurer rapidement et efficacement les systèmes à un état de fonctionnement antérieur, réduisant ainsi les temps d'indisponibilité et les impacts potentiels sur la sécurité et la continuité des opérations.

La responsabilité de garantir le bon fonctionnement de ces processus et de veiller à l'application en temps opportun des correctifs repose sur l'équipe ou la personne chargée de la sécurité informatique de votre système.

La veille technologique concerne les composants du système tels que les bibliothèques, les logiciels, les dépendances, etc.

Les preuves requises consistent en des captures d'écran ou des séquences vidéo illustrant les mesures de gestion des accès et des identités.

Non, chaque éditeur est libre d'utiliser le type de fichier de son choix tant que la fonctionnalité demandée par l'exigence est disponible.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S :

• Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ;
• Le référentiel d’authentification des acteurs de santé v2.0;
• Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.