FAQ de l'offre : Ségur du numérique en santé

Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.

Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi

Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2, dans le cadre de l'homologation à l'Espace de Confiance ProSantéConnect (exigence SC.PSC.14). Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Une équipe est dédiée à la vérification des preuves Interopérabilité. Le suivi des preuves Interopérabilité se fait directement dans Convergence.

Vous devez demander le raccordement à Pro Santé Connect en remplissant le formulaire dédié, disponible ici.

L’éditeur doit impérativement fournir les informations CNDA suivantes :

• Numéro d’Identification Éditeur (NIE) délivré par le CNDA
• Numéro d’Identification Logiciel (NIL) délivré par le CNDA

Le SGL doit pouvoir gérer deux situations :

1. Alimentation directe du DMP :
   • Si le SGL alimente le DMP lui-même, il doit fournir sa propre homologation CNDA.
   • Si le SGL utilise un module/PFI sous-traitant (invisible pour le client), il doit fournir l’homologation CNDA du sous-traitant et préciser son interconnexion avec le module lors du référencement de l’ensemble [SGL + module] (1 seul référencement).
2. Alimentation via la PFI de l’hôpital :
   • Le SGL laisse l’hôpital gérer les envois au DMP avec sa PFI, préalablement choisie par l’hôpital.
   • Dans ce cas, le SGL n’a pas à fournir d’homologation CNDA, mais doit démontrer qu’il peut envoyer les comptes-rendus via messages ORU, qui seront routés par la DSI vers la PFI hospitalière.

Accompagnement à la contractualisation : contact.cnda@assurance-maladie.fr
Support technique :  support.cnda@assurance.maladie.fr

Pour ouvrir votre dossier de référencement, deux références sont indispensables : le NIE et le NIL.

Ces références sont fournies lors de l’ouverture de votre dossier au CNDA.

Le NIL est attribué lorsque vous « créez votre logiciel » au CNDA et figure sur la convention de Référencement ANS.

Si vous ne disposez pas de ces informations, vous pouvez contacter la Gestion Relation Client CNDA via votre espace personnel CNDA.

Dès le début du parcours Ségur, il est nécessaire d’avoir lancé les démarches d’homologation auprès du CNDA. Cette inscription permet d’obtenir les éléments requis pour compléter le dossier administratif à l’étape 2 « Éligibilité » dans Convergence :

• Numéros NIE / NIL (Numéro d’Identification Éditeur et Numéro d’Identification Logiciel) ;
• Preuve de dépôt d’une demande de labellisation CNDA.

Pour cette preuve, vous pouvez fournir à l’ANS une copie d’écran de votre espace CNDA montrant que votre demande est au minimum au statut « Pré-examen » (exemple ci-dessous). 
 

Image