Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Les points de contrôle W16, T21 et D15 du formulaire de test d’intrusion du couloir Hôpital mentionnent que "(...) la configuration doit être complétée par d'autres entêtes, comme X-XSS-Protection ou X-Frame-Options pour la prise en charge de la CSP sur des navigateurs anciens". 
Toutefois, depuis le 4 juillet 2025, l’entête X-XSS-Protection a été déprécié suite à la découverte d’une vulnérabilité liée.

Dans le cadre du référencement Ségur, l'utilisation de l'entête X-XSS-Protection est tolérée et ne remet pas en cause la conformité au référentiel car la découverte de la vulnérabilité est postérieure à l'ouverture des guichets pour le couloir Hôpital.

Cela dit, nous recommandons vivement aux éditeurs qui continueraient à l'utiliser de suivre les dernières recommandations de l'OWASP à ce sujet :

The HTTP X-XSS-Protection response header is a feature of Internet Explorer, Chrome, and Safari that stops pages from loading when they detect reflected cross-site scripting (XSS) attacks.
WARNING: Even though this header can protect users of older web browsers that don't yet support CSP, in some cases, this header can create XSS vulnerabilities in otherwise safe websites source.
Recommendation
Use a Content Security Policy (CSP) that disables the use of inline JavaScript.
Do not set this header or explicitly turn it off.
X-XSS-Protection: 0
Please see Mozilla X-XSS-Protection for details.

Le délai est à définir au cas par cas par le responsable du service numérique. Il doit être assez court pour limiter les possibilités d'accès au système par un tiers mais assez long pour ne pas forcer inutilement des authentifications intempestives.

Le compromis doit être établi en fonction des risques et des contraintes opérationnelles propres au service. La durée d'inactivité provoquant la déconnexion automatique ne devrait pas pouvoir dépasser quelques dizaines de minutes dans tous les cas.

Que ce soit pour une modification ou une suppression, le procédé reste le même. Le système doit toujours proposer d'envoyer un email au(x) destinataire(s) initiaux.

Un client lourd est un logiciel installé sur un ordinateur en réseau ou non. Dans ce cas la plupart des ressources sont installées en local à la différence d’un client léger. Dans le cas d’un client léger, les ressources sont installées sur un réseau.

Vous avez l'obligation de sélectionner un des deux profils pour proposer Pro Santé Connect à vos clients.

Vous n'avez pas d'obligation de réponse à cette exigence si vous avez la possibilité de vous connecter à un autre opérateur que Mailiz pour fournir les preuves d'envoi de message MSSanté.

Vous avez la liste exhaustive des domaines de messagerie Mailiz sur la liste blanche accessible ici ( LIEN : https://espacedeconfiance.mssante.fr/listeblanchemssante.xml )

Nous nous situons au niveau local avec répercussion sur le DMP et la MS Santé comme pour le cas d'une modification. Si le document est supprimé uniquement dans le DMP et pas en local (ex : le patient fait la suppression lui-même), il n’y a pas besoin d'informer les destinataires MS Santé.

Pour rappel, le pharmacien ne peut pas supprimer ou modifier directement un document dans le DMP, il doit le faire depuis son LGO pour répercuter ensuite la mise à jour ou la suppression dans le DMP. Ceci assure une synchronisation entre DMP et logiciels métiers.

Non, l’ordre d’affichage des traits n’est pas une exigence. Néanmoins, il convient de respecter l’exigence SI 11 du RNIV : « Les traits d’identités affichés conformément à la réglementation doivent pouvoir être facilement distingués, sans risque d’équivoque, par les acteurs concernés ». 

L'éditeur doit à minima préciser les éléments suivants :

• pour quelle raison des pièces d’identité sont-elles stockées et dans quel(s) cas un accès ultérieur à ces documents est-il prévu ?
• les principes du RGPD sont-ils appliqués (protection des données stockées, information du patient, etc.) ?
• algorithme de chiffrement utilisé et taille des clés,
• modalités de gestion de la durée de conservation,
• précisions sur la "gestion des secrets" :
  • de quelle façon les clés de chiffrement sont-elles générées ?
  • de quelle façon les clés de chiffrement sont-elles protégées ?
  • qui peut y accéder ?
  • comment sont-elles gérées dans le temps ?
  • comment s’exécute le processus de déchiffrement d’un document préalablement chiffré lorsque celui-ci est nécessaire ?

En vertu du RGPD vous devez déjà tracer l’accès aux données de santé à caractère personnel. Le fait de rajouter l’INS à ces données de santé à caractère personnel ne change rien. Il sera simplement vérifié que cette traçabilité est faite. Cette exigence sera vérifiée en s'assurant que lorsqu'un acteur accède au dossier d'un usager - doté ou non d'une INS (ouvre le dossier de cet usager) - cet accès est tracé dans la solution.

Le formulaire du test d'intrusion Ségur peut être complété à posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.

Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.