FAQ de l'offre : Ségur du numérique en santé

Le filtrage des entrées utilisateur et un mécanisme d'encodage des données doivent être implémentés. Les caractères potentiellement dangereux doivent être échappés avant d'être retournés dans les réponses du serveur (ex : usage d'entités HTML). L'ensemble des entrées utilisateur doivent obligatoirement être traitées de manière sécurisée par le serveur, afin de proscrire tout type d'injection côté serveur quelles que soient les technologies utilisées. Des contrôles d'encodage/échappement supplémentaires peuvent également être mis en place côté client.

Le test d'intrusion concerne toutes les solutions, incluant les applications web et mobiles, les clients lourds de trois tiers ou plus et les clients lourds inférieurs à trois tiers. Le guide d'utilisation propose une classification explicite à travers un logigramme : une application est considérée comme web si elle fonctionne sur un serveur web ou est accessible via un navigateur. En revanche, si elle est spécifiquement conçue pour les appareils mobiles, elle est classée comme une application mobile. Si aucune de ces catégories ne s'applique et qu'une installation locale est nécessaire, elle est alors répertoriée comme un client lourd. 

Deux types de clients lourds sont à distinguer : un client lourd est qualifié de trois tiers ou plus s'il intègre un serveur d'application par lequel transitent tous les flux, sinon il est considéré comme moins de trois tiers.

Deux cas peuvent se présenter : 
- Si un ou plusieurs manquements aux règles de sécurité de gravité haute sont présents, ces derniers doivent être corrigés avant la fin du processus de référencement. Par ailleurs, en cas de vulnérabilité majeure découverte sur la solution, toute vulnérabilité ayant un score CVSS (Common Vulnérabilité Scoring System) égal ou supérieur à 8, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé.
- Si un ou plusieurs manquements aux règles de sécurité de gravité moyenne sont présents, il est préférable, mais non obligatoire dans le cadre du référencement Ségur, de corriger ces derniers avant la fin du processus de référencement. A noter qu'au-delà de 10 manquements aux règles de sécurité de gravité moyenne, l'éditeur ne sera pas éligible au référencement.  

Les points de contrôle au niveau du formulaire du test d’intrusion sont répartis en trois catégories : 

• Gravité haute : la non-conformité au point de contrôle attendu est éliminatoire. L’éditeur ne sera pas éligible au référencement dans ce cas ;
• Gravité moyenne : jusqu’à 10 réponses négatives à des points de contrôle de gravité moyenne peuvent être acceptées au maximum sans remettre en cause l’éligibilité au référencement sur l’ensemble du formulaire du test d’intrusion ;
• Non applicable (NA) : points de contrôle s’appliquant uniquement aux clients lourds avec une architecture moins de trois tiers et, bien qu'ils doivent être évalués, n'étant pas pris en compte dans le processus de référencement. Cette exclusion découle de l'incompatibilité entre la nature de l'architecture et les critères de contrôle. 

L'auditeur doit effectuer une évaluation du niveau de criticité des vulnérabilités identifiées pour les vulnérabilités publiques déjà déclarées et identifiées publiquement (enregistrées avec un numéro CVE : https://nvd.nist.gov/vuln/search) des composants de la solution, et dont les codes d’exploitation publiés pourraient être utilisés. Dans le cadre du Ségur, seule la solution est auditée et le périmètre du SI n'est pas pris en compte.
Pour un score CVSS v3 supérieur ou égal à 8, une vulnérabilité est considérée comme haute. Pour un score CVSS v3 compris entre 4 et 8, une vulnérabilité est considérée comme moyenne. 
Par ailleurs, l’auditeur peut réévaluer le score CVSS d’une vulnérabilité, en particulier s’il juge qu’elle n’est pas exploitable en raison du contexte applicatif de la solution ou si des mesures de sécurité ont été mises en place pour la protéger. Dans ce cas, il est possible de valider la règle de sécurité en incluant dans les commentaires une justification de ce choix.

Lors de l'évaluation, l'auditeur doit effectuer des tests sur des points de contrôle, dont certains sont communs à tous types d'applications, et d'autres sont spécifiques à chaque type d'application. Ces points sont listés dans le formulaire du test d'intrusion comme suit :

• 18 points de contrôle communs à toutes les solutions qui doivent être systématiquement examinés par l'auditeur, quelle que soit la nature de la solution ;
• 21 à 24 points de contrôle spécifiques au type de la solution (application web, application mobile, client lourd avec une architecture de trois tiers ou plus, et client lourd avec une architecture de moins de trois tiers).

Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique en 2021, à prendre en compte pour protéger les systèmes contre les attaques.

L'auditeur a deux options pour signer électroniquement le formulaire :

1. En utilisant une plateforme de signature électronique telle que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
2. En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.

Une fois le formulaire complété (Base Commune & uniquement un onglet correspondant au type de l'application), il suffit à l'auditeur de renseigner le répertoire où il pourra sauvegarder le fichier au niveau de la ligne ""Lien"" (par défaut le lien renseignera le bureau de votre poste), ainsi que renommer le nom du questionnaire au format : ""Test intrusion_NOM APPLICATION.pdf"" (il ne faut pas supprimer l'extension du fichier). Une fois ces modifications apportées, il vous suffit de cliquer sur le bouton ""Génération PDF"".
 

NB : en cas de dysfonctionnement de la macro, le PDF peut être généré manuellement en suivant les étapes suivantes :

1. Se positionner sur l'onglet ""Résultat Formulaire"" ;
2. Sélectionner les feuilles à exporter (obligation de sélectionner l'onglet ""Résultat Formulaire"", ""Base Commune"" et le type d'application) en effectuant un ctrl+clic gauche ;
3. Une fois la sélection effectuée, cliquer sur Fichier, Exporter, Créer PDF ;
4. Renommer le document au format : ""Test intrusion_NOM APPLICATION.pdf"".

Pour remplir le test d'intrusion, l'auditeur doit :

1. S'assurer que la première page du formulaire comporte le nom ainsi qu'une description succincte de l'application ;
2. Remplir l'onglet "Base Commune" et l'onglet correspondant au type d'application indiqué dans le champ "Type d'application" ;
3. Compléter l'ensemble des règles de sécurité ;
4. Si une règle de sécurité est notée comme "N/A" ou "NON", ajouter une justification dans la section des commentaires ;
5. Générer un fichier PDF à partir de la macro du test d'intrusion ou manuellement à partir du descriptif ;
6. Signer électroniquement le formulaire de test d'intrusion.