FAQ de l'offre : Ségur du numérique en santé

La première étape consiste à passer par le guichet Éditeur de l’EDC PSC dans Convergence pour chacun des logiciels utilisateurs (composant principal) et pour le Proxy e‑Santé.
Une fois ces habilitations obtenues, l’éditeur doit également passer par le guichet Opérateur pour demander l’habilitation “Opérateur de logiciel utilisateur” pour les composants principaux et l’habilitation “Opérateur de Proxy e‑Santé” pour le Proxy.
Ces démarches sont nécessaires pour que la solution logicielle puisse bénéficier du dispositif de financement prévu par le Ségur.

Cf DSR Imagerie Vague 2, page 34 : DSR DRIMbox SEGUR du Numérique en Santé Vague 2

Pour une Solution Logicielle à référencer dans le cadre du Ségur Vague 2, il faut considérer la solution comme un ensemble :
- un composant principal ;
- un Proxy e‑Santé ;
et, le cas échéant, d'éventuels composants additionnels.
La Solution Logicielle dans son ensemble suit toutes les étapes de référencement (candidature, éligibilité, dépôt des preuves, etc.).
L’éditeur doit :
- Obtenir l’habilitation EDC PSC Editeur de logiciel utilisateur pour chaque composant principal ;
- Obtenir l’habilitation Espace de Confiance API PSC Editeur de Proxy e-santé pour le Proxy e-Santé. 
- Obtenir ensuite les habilitations Opérateurs de Services  correspondantes pour accéder aux financements et à l’espace de test CNDA.
Une fois les chapitres Prérequis et Maturité technique validés pour les deux parcours d’habilitation (logiciel et proxy), l’éditeur obtient l’accès aux environnements de test du CNDA.
Enfin, les habilitations Opérateur de service utilisateur (EDC PSC) doivent être demandées pour tous les composants principaux et l’habilitation Opérateur de Proxy e‑Santé pour le Proxy.
L’habilitation Opérateur de logiciel utilisateur sera notamment requise par l’ASP lors des demandes de financement.
Cf DSR Imagerie Vague 2, page 34 : DSR DRIMbox SEGUR du Numérique en Santé Vague 2

Le RIS est le seul système capable d’assurer un envoi cohérent, sécurisé et conforme des comptes rendus (CR) vers le DMP.
Conformément à la spécification RIS.TLR/INT.02, il demeure le point de diffusion officiel pour tous les CR issus de la téléradiologie :
- Les plateformes de téléradiologie agissent comme sous-traitants des services de radiologie. L’intégration des CR dans le RIS est donc indispensable pour garantir la traçabilité et la centralisation des données médicales.
- Un envoi direct par la plateforme entraînerait un risque d’incohérence documentaire : si un radiologue modifie un CR dans le RIS, plusieurs versions pourraient être présentes dans le DMP sans gestion de version.
- Ces plateformes ne sont pas des établissements de santé et ne disposent ni des certificats nécessaires, ni de l’agrément CNDA/Ségur requis pour transmettre elles-mêmes les documents au DMP.
Ainsi, même si le CR est validé sur la plateforme, seul le RIS est habilité à l’envoyer au DMP de façon fiable, sécurisée et conforme.

La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.

Selon les différents pilotes réalisés par l'ANS et les échanges avec les auditeurs PASSI, le coût du test d'intrusion varie en moyenne entre 5 000 et 10 000 euros (uniquement pour le périmètre du Ségur) et dure environ une semaine ouvrée.

Un webinaire a été organisé par l'ANSSI et l'ANS à l'attention des auditeurs PASSI, dans le but de clarifier leurs responsabilités et leurs périmètres d'intervention à chaque phase du processus de réalisation du test d'intrusion : le cadrage, la réalisation du test d'intrusion et la phase de rapport.

Le replay du webinaire peut être retrouvé ici : https://esante.gouv.fr/webinaires/segur-vague-2-destination-des-prestataires-daudit-passi

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

Un numéro AM ou FINESS est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)

Pour le calcul de la tranche, le service de calcul ne prend pas en compte les numéros invalides. Ils sont indiqués dans le mail de résultat mais n'impactent pas le résultat.
Si la commande contient un ou plusieurs numéros AM et/ou FINESS indiqués comme "invalides" par le service de calcul, elle ne sera pas rejetée, sauf si tous les numéros FINESS et AM de la commande sont invalides conduisant à un montant plafond nul.

Un numéro est considéré comme "invalide" par le service de calcul dans les cas suivants :
- Numéro d'un établissement ou médecin créé après 2023
- Etablissement ou médecin existant en 2023 mais sans activité en 2023
- Tout numéro incorrect (par exemple format incorrect)