Ségur Numérique V2

Ségur Numérique V2 – Cybersécurité et validation ANS : ce qu’il faut savoir

Le programme Ségur du numérique en santé poursuit sa transformation avec une nouvelle phase d’exigences : Ségur V2. Cette deuxième vague renforce le niveau attendu de sécurité des logiciels référencés, avec une attention particulière portée à la cybersécurité, à la résilience des systèmes et à la capacité des éditeurs à détecter et prévenir les menaces.

Dans ce nouveau cadre, les tests d’intrusion, la documentation SSI et la mise en place d’une gouvernance de sécurité deviennent incontournables.

Qui est concerné par le Ségur V2 ?

Le Ségur V2 cible l’ensemble des éditeurs de logiciels de santé souhaitant bénéficier d’un référencement par l’Agence du Numérique en Santé (ANS), condition préalable à leur intégration dans les parcours de financement du programme CARE. Cela concerne notamment les :

Logiciels de Dossier Patient Informatisé (DPI)
Dossiers de Filière Informatisés (DFI)
Logiciels de Gestion de Cabinet (LGC)
Solutions d’Imagerie médicale (RIS/DRIMbox)
Logiciels proxy e-santé
Solutions métiers connectées à Pro Santé Connect ou à la messagerie MSSanté

Pour ces logiciels, le passage en V2 signifie le respect de nouvelles exigences en matière de cybersécurité, définies dans les référentiels métiers publiés et mis à jour par l’ANS (avril–mai 2025).

Ce que prévoit le Ségur V2 côté cybersécurité

L’Agence du Numérique en Santé intègre désormais dans chaque référentiel métier une section SSI dédiée. Elle est systématiquement structurée autour de trois exigences transversales identifiées sous les libellés SSI/GEN.18, SSI/GEN.19 et SSI/GEN.20 :

SSI/GEN.18 – Tests d’intrusion obligatoires
Chaque solution logicielle doit faire l’objet d’un test d’intrusion externe, réalisé par un prestataire tiers qualifié (de préférence certifié PASSI). Ce test porte sur les services exposés, les API ouvertes (notamment celles de Pro Santé Connect), et les flux réseau critiques. Il doit être documenté dans un rapport avec plan de remédiation.

Faites réaliser votre test d’intrusion PASSI

SSI/GEN.19 – Documentation de la politique de sécurité
L’éditeur doit produire une Politique de Sécurité des Systèmes d’Information (PSSI) et des procédures associées. Cette politique doit décrire les règles de gestion des accès, les moyens de protection, les pratiques de mise à jour, ainsi que les engagements en cas d’incident.

Contactez nos experts

SSI/GEN.20 – Gouvernance et traçabilité
L’entreprise doit prouver l’existence d’une gouvernance SSI structurée, d’une politique de gestion des incidents, d’une analyse de risques réalisée ou en cours, et de mesures de journalisation / surveillance adaptées.

RSSI Externalisé ZIWIT: pour vous accompagner sur votre gouvernance SSI

Nouveaux guides techniques ANS pour valider la conformité

L’ANS fournit désormais, pour chaque couloir de référencement, des guides dédiés aux tests d’intrusion :

DPI / DFI / PFI (mise à jour avril 2025)
LGC / RIS / DRIMbox / logiciels e-santé (mai 2025)

Ces documents précisent les cibles de test, les périmètres attendus (exposition réseau, portails, services API), les méthodologies acceptées, et les formats exigés pour les rapports. Une attention particulière est accordée aux environnements en production ou pré-production, à l’authentification Pro Santé Connect, et à la résistance aux attaques sur les sessions utilisateur.

À noter : en cas de non-respect des exigences SSI, le logiciel ne pourra pas être validé Ségur V2 par l’ANS, et donc ne sera pas éligible aux dispositifs de financement publics (CARE, SONS…).

Étapes à suivre pour réussir sa validation cybersécurité Ségur V2

Analyser les exigences SSI du référentiel ANS correspondant à votre logiciel
Faire réaliser un test d’intrusion par un prestataire qualifié PASSI
Produire ou mettre à jour votre politique SSI (PSSI)
Documenter vos procédures d’analyse de risques, gestion des vulnérabilités et incidents
Constituer un dossier complet à présenter à l’ANS dans le cadre de la demande de référencement V2
Mettre en œuvre les recommandations issues du test d’intrusion pour démontrer la correction des vulnérabilités critiques

Ce que nous proposons chez ZIWIT

Nous sommes un prestataire certifié PASSI par l’ANSSI, et accompagnons depuis plusieurs années des éditeurs de solutions de santé dans leur conformité Ségur. Notre accompagnement inclut :

Réalisation de tests d’intrusion conformes ANS / Ségur V2
Nos pentests sont menés dans le respect des référentiels techniques ANS, avec rapport structuré, complétion du document ANS_Test_d’intrusion (ffichier Excel), plan de remédiation, et validation des corrections.
Audit et accompagnement à la formalisation de votre politique SSI
Nous vous aidons à rédiger ou structurer votre PSSI, à définir vos procédures clés, et à répondre aux exigences de gouvernance SSI (analyse de risques, gestion des incidents, etc.).
Veille réglementaire et préparation à la soumission ANS
Nous vous accompagnons dans la lecture des exigences, la compilation du dossier, et le suivi des interactions avec l’ANS si besoin.
Mise en place de solutions de cybersécurité complémentaires
Besoin de supervision (SOC), de protection des terminaux (EDR), ou de plans de remédiation ? Nous intervenons avec nos équipes techniques pour renforcer concrètement votre niveau de sécurité.

Mise en place d’un Centre Opérationnel de Cybersécurité

Vous devez vous mettre en conformité avec Ségur V2 ?

Nous pouvons intervenir rapidement, à distance ou sur site, pour sécuriser votre solution et vous aider à obtenir la validation ANS. Contactez-nous pour recevoir une proposition personnalisée ou pour planifier un test d’intrusion dans le cadre de votre démarche Ségur.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités.

Contactez-nous !

+33 1 85 09 15 09