FAQ de l'offre : Ségur du numérique en santé

Comme indiqué dans le DSR, l'habilitation EDC PSC est obligatoire et constitue un pré requis à votre référencement Ségur.

Dans le cas où vous n'obtenez pas l’habilitation Editeur de logiciel utilisateur ou l’habilitation Editeur de Proxy e-santé de l’EDC PSC à échéance de la date 2 du guichet Ségur (date limite de dépôt d'un dossier complet), vous devez transmettre une capture d’écran de l’étape "Dépôt de preuves" sur le guichet EDC PSC devant obligatoirement afficher :

• Le numéro unique de référencement (NRU),
• Le nom de la solution,
• et l'ensemble des chapitres soumis au moins une fois

Image

Vous pouvez poser vos questions via la messagerie de la plateforme Convergence ou contacter le Support Ségur depuis votre espace authentifié.

Le délai de réponse dépend du traitement par l’équipe en charge, mais vous pouvez généralement démarrer vos développements dès que la validation est positive.

Il est conseillé de surveiller votre messagerie et l’espace de suivi pour être informé dès que l’autorisation est accordée.

L'exigence EXI EDC PSC 127 concerne le logiciel utilisateur et le logiciel proxy e-santé.

L'éditeur du logiciel utilisateur et l'éditeur du logiciel proxy doivent documenter toutes les mesures prises pour se conformer à la publication "OWASP Top 10".

L’ensemble, c’est-à-dire le LPS et les proxies utilisés, font partie de l’Espace de Confiance PSC. 

Chaque composant (LPS (Composant Principal) et proxy) doit être habilité dans l’Espace de Confiance PSC selon son rôle.

Utilisez votre espace authentifié pour contacter l’équipe support PSC. 

Votre demande sera enregistrée et transmise à la bonne équipe (PSC, CNDA ou GIE SESAM-Vitale) selon la nature du problème. 

C’est le moyen recommandé pour obtenir une réponse adaptée et un suivi efficace.

Le proxy est utilisé pour sécuriser et standardiser les échanges entre le logiciel métier (LPS) et les API nationales (DMP, INSi, ON, etc.).

Il gère les mécanismes d’authentification et de sécurité (mTLS, OAuth2, OpenID), facilite l’intégration technique, et permet de mutualiser certains développements. 

Même si cela ajoute de la complexité, le proxy est recommandé pour répondre aux exigences réglementaires et garantir la conformité des accès.

Chaque composant ou fournisseur utilisé (proxy, EAI (Composant Additionnel Non Autonome), etc.) doit être déclaré et suivi séparément. Le LPS doit assurer la conformité et la sécurité pour chaque composant intégré ou interfacé, selon les exigences CNDA et PSC.

Dans le référentiel EDC PSC, “éditeur” et “opérateur” sont deux rôles distincts.

• L’éditeur est responsable du développement et de la conformité du logiciel ou du proxy.
• L’opérateur est celui qui exploite la solution (logiciel ou proxy) en production.

Il s'agit du cas d'un proxy tiers qui embarque des composants additionnels non autonomes (ou logiciels EAI(Composant Additionnel Non Autonome)).

Dans le parcours Ségur, l'éditeur ELU déclare qu'il utilise un proxy tiers et composants additionnels non autonomes.

Dans le parcours d'habilitation EDC PSC ELU, l'éditeur ELU déclare qu'il utilise un proxy tiers.

Dans le parcours d'homologation CNDA, ELU déclare qu'il utilise des logiciels EAI et bénéficiera d'un plan de test adapté.

Dans ce cas, chaque LPS doit être homologué CNDA et habilité PSC, et le proxy doit être habilité PSC (mais pas homologué CNDA).

L’architecture est courante pour les groupes ou éditeurs qui mutualisent un proxy pour plusieurs logiciels.