Actualité

Obligation d’audit pour les éditeurs de logiciels dans le cadre du Ségur Vague 2

16 décembre 2024

Visuel Ségur (790x365)

Garantir la sécurité des données de santé est une priorité absolue. Dans ce cadre, le programme Ségur Numérique exige que les éditeurs de logiciels candidats à la Vague 2 valident la robustesse de leurs solutions via un test d’intrusion. Ce processus essentiel assure la conformité et la sécurité des outils numériques utilisés par les professionnels de santé.

Une démarche claire et équitable, basée sur une référence mondiale

Face à l’augmentation des cyberattaques dans le secteur de la santé, le test d’intrusion vise à évaluer la conformité des solutions logicielles à des exigences strictes de cybersécurité. Il permet de vérifier qu'elles ne présentent pas de vulnérabilités potentiellement exploitables. 

Pour garantir une protection optimale, le test d’intrusion se base sur le Top 10 OWASP (Open Web Application Security Project), une liste mondialement reconnue des principales menaces et vulnérabilités informatiques. Cette méthodologie cible en priorité les failles les plus critiques pour assurer la sécurité des systèmes d’information.

Le test d'intrusion doit être réalisé par un prestataire PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information). Bien que la certification complète PASSI ne soit pas requise, l’auditeur doit disposer des compétences nécessaires. L’audit, à la charge des éditeurs, est une étape incontournable pour le référencement des solutions (figure parmi la liste des preuves à fournir).

Consultez la liste des prestataires PASSI

Déroulement du test d'intrusion

Le test d'intrusion s'articule autour de 18 points de contrôle communs, complétés par 21 à 24 critères spécifiques selon la solution évaluée. Les résultats sont classés selon deux niveaux de gravité :

  • haute, éliminatoire, empêchant le référencement de la solution ;
  • moyenne, tolérant jusqu’à 10 non-conformités.

Ce processus, structuré en quatre phases, s'étend généralement sur une semaine et permet une évaluation complète de la sécurité des solutions :

  1. phase de cadrage : collecte des prérequis et définition des modalités ;
  2. phase de test : réalisation des tests sur l’application logicielle ;
  3. phase de rapport : transmission des résultats et validation par l’éditeur ;
  4. phase de soumission : dépôt du formulaire sur la plateforme Convergence.

Dans le cas où des corrections sont nécessaires, l’éditeur doit informer l’auditeur des vulnérabilités corrigées. L’auditeur procède alors à une réévaluation des points concernés avant la mise à jour du formulaire.

Un appel à l'action clair pour les éditeurs

Pour réussir votre test d’intrusion et assurer le référencement de votre solution, identifiez dès maintenant un prestataire PASSI et accédez aux ressources nécessaires sur le Portail Industriels. Une cybersécurité robuste commence ici !

Consultez notre page dédiée à la procédure de référencement Vague 2

Téléchargez les documents nécessaires pour la réalisation du test d'intrusion

Guide d’utilisation - Formulaire du test d’intrusion

(pdf - 1.11 Mo)

Formulaire du test d’intrusion

(xlsm - 135.03 Ko)

Retrouvez toutes les informations complémentaires dans le replay du webinaire à destination des prestataires PASSI, présenté par les experts en cybersécurité de l'ANS.

Support Webinaire - Prestataires d'audit PASSI (pdf - 533.88 Ko)