Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Les exigences découlent du référentiel d’identification électronique qui a été rendu opposable par arrêté ministériel conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022). Il fait partie de la Politique Générale de Sécurité des Systèmes d’Information en Santé (PGSSI-S).
Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.

Les différents volets du référentiel d'identification électronique peuvent être récupérés sur le site de publication de la PGSSI-S par l'ANS.

Le référentiel d'identification électronique annule et remplace au 1er juin 2022 trois référentiels de la PGSSI-S :

• Le référentiel d’identification des acteurs sanitaires et médico-sociaux v1.0 ;
• Le référentiel d’authentification des acteurs de santé v2.0;
• Le référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé v2.0.

La vague 2 du Ségur n'exige qu'une compatibilité générique avec le standard OIDC et le flux Authentication Code Flow. Les éditeurs sont libres de faire les choix de paramétrage qui leur conviennent du moment qu'ils s'inscrivent dans le cadre du standard. Le financement de connecteurs OIDC spécifiques à certains établissements n'est pas compris dans le Ségur. Il fera l'objet d'une contractualisation directement avec les établissements en ayant besoin.

Tous les éléments externes s'interfaçant avec les services numériques et nécessaires aux scénarios de preuve seront fournis par l'ANS avec un guide de raccordement/configuration.

Des machines virtuelles (VM) sont disponibles pour téléchargement sur le compte éditeur de la plateforme Convergence et s'accompagnent pour chaque exigence d'un guide d'utilisation présentant la VM et le mode opératoire du test.

Non, chaque éditeur est libre d'utiliser le type de fichier de son choix tant que la fonctionnalité demandée par l'exigence est disponible.

Pour assurer la complétude du formulaire, l’éditeur doit renseigner l’ensemble des informations propres à son application dans le formulaire du test d’intrusion (fichier Excel, onglet « 1 – Résultat Formulaire »).  L’éditeur informera l’auditeur du type d’application correspondant à sa solution conformément au logigramme fourni dans le guide du test d'intrusion. L’auditeur vérifiera que l’éditeur a bien respecté les règles de ce logigramme.

L'auditeur a deux options pour signer électroniquement le formulaire :

1. En utilisant une plateforme de signature électronique telles que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
2. En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.

Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique, à prendre en compte pour protéger les systèmes contre les attaques.

Si un ou plusieurs manquements aux règles de sécurité sont présents, ces derniers doivent être corrigés avant la fin du processus de référencement. En cas de vulnérabilité majeure découverte sur la solution, toute vulnérabilité ayant un score CVSS (Common Vulnérabilité Scoring System) égal ou supérieur à 8, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé.