FAQ de l'offre : Ségur du numérique en santé

Pendant l’instruction du dossier, une phase d’échanges entre l’ANS et l’Editeur peut être nécessaire afin d’apporter des précisions sur les éléments de preuves fournis par l’Editeur. Dans ce cas, l’ANS peut être amenée à solliciter l‘Editeur via l’outil de gestion des candidatures.
A noter que passé 5 jours sans réponse de l’éditeur, un retard important sur l’instruction du dossier est à prévoir.

Oui, dans le cas où un éditeur commercialise plusieurs solutions logicielles couvrant des périmètres fonctionnels relatifs aux DSR, il peut solliciter des référencements pour chacune de ces solutions logicielles en déposant autant de candidatures que de solutions  logicelles à référencer.

Une solution logicielle est constituée d’un Composant principal, d’un Composant Proxy esanté, et éventuellement complété d’un ou plusieurs Composants additionnels intégrés dans une version majeure identifiée et référencée par l’ANS. Au sein du présent document, sauf mention spécifique, le terme Solution logicielle désigne donc l’ensemble constitué du Composant principal, du Composant Proxy e-santé, et du ou des éventuels Composants additionnels.

Une application standalone est un logiciel embarquant l’ensemble des composantes nécessaires à son fonctionnement, et en particulier le traitement et l'implémentation de « l’intelligence » du logiciel, responsable de toute la logique métier et garant du fonctionnement de l’application et la gestion du stockage des données.

Un TSP est un fournisseur de services de confiance qui fournit des certificats numériques utilisés pour authentifier et sécuriser les signatures électroniques.

Une application client-serveur fait référence à une architecture désignant la séparation des tâches d’une application entre deux entités distinctes et cloisonnées. Le côté client désigne l’ensemble des composants logiciels manipulés par les utilisateurs. Le côté serveur désigne l’ensemble des composants logiciels responsables des traitements, c’est-à-dire l’implémentation de la logique métier, et de l’accès aux données.

L'architecture 2-tiers se compose de deux principales couches (la couche client et la couche serveur) tandis que l'architecture 3-tiers ajoute une couche intermédiaire, généralement appelée la couche applicative. Une couche applicative peut accroître la sécurité de la solution en effectuant un tampon entre la présentation côté client et les données côté serveur et en permettant une gestion centralisée de l'application sur le serveur.

Le client effectue des contrôles sur la taille des entrées de l'utilisateur afin de prévenir les attaques par débordement de mémoire tampon. De plus, toutes les entrées de l'utilisateur dans le client lourd doivent être nettoyées pour éviter les injections de commandes (commandes arbitraires visant le système d'exploitation par l'intermédiaire de l'application). Par ailleurs, l'utilisation d'un serveur d'application est nécessaire pour éviter l'accès à la base de données directement à partir du client lourd.

Un secret désigne toute donnée sensible et protéiforme caractérisée par son usage dans les processus d’authentification des utilisateurs et de contrôle d’accès à des ressources et/ou fonctionnalités de composants système ou applicatif. Cela peut désigner des identifiants de comptes, identifiants de session, mots de passe, clés de chiffrement, clés d’API, jetons d’authentification, etc.
Sauf exception justifiée liée à la réglementation, aucun secret n'est journalisé par défaut. Dans le cas contraire, la confidentialité des données doit être garantie dans les traces (utilisation d'un hash, etc.).

Lorsque l'auditeur juge que l'exploitation d'une vulnérabilité est complexe en raison du contexte applicatif de la solution, il est possible de valider la règle de sécurité en incluant des précisions explicatives.

Le filtrage des entrées utilisateur et un mécanisme d'encodage des données doivent être implémentés. Les caractères potentiellement dangereux doivent être échappés avant d'être retournés dans les réponses du serveur (ex : usage d'entités HTML). L'ensemble des entrées utilisateur doivent obligatoirement être traitées de manière sécurisée par le serveur, afin de proscrire tout type d'injection côté serveur quelles que soient les technologies utilisées. Des contrôles d'encodage/échappement supplémentaires peuvent également être mis en place côté client.