FAQ de l'offre : Ségur du numérique en santé

Deux cas peuvent se présenter : 
- Si un ou plusieurs manquements aux règles de sécurité de gravité haute sont présents, ces derniers doivent être corrigés avant la fin du processus de référencement. Par ailleurs, en cas de vulnérabilité majeure découverte sur la solution, toute vulnérabilité ayant un score CVSS (Common Vulnérabilité Scoring System) égal ou supérieur à 8, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé.
- Si un ou plusieurs manquements aux règles de sécurité de gravité moyenne sont présents, il est préférable, mais non obligatoire dans le cadre du référencement Ségur, de corriger ces derniers avant la fin du processus de référencement. A noter qu'au-delà de 10 manquements aux règles de sécurité de gravité moyenne, l'éditeur ne sera pas éligible au référencement.  

Les points de contrôle au niveau du formulaire du test d’intrusion sont répartis en trois catégories : 

• Gravité haute : la non-conformité au point de contrôle attendu est éliminatoire. L’éditeur ne sera pas éligible au référencement dans ce cas ;
• Gravité moyenne : jusqu’à 10 réponses négatives à des points de contrôle de gravité moyenne peuvent être acceptées au maximum sans remettre en cause l’éligibilité au référencement sur l’ensemble du formulaire du test d’intrusion ;
• Non applicable (NA) : points de contrôle s’appliquant uniquement aux clients lourds avec une architecture moins de trois tiers et, bien qu'ils doivent être évalués, n'étant pas pris en compte dans le processus de référencement. Cette exclusion découle de l'incompatibilité entre la nature de l'architecture et les critères de contrôle. 

L'auditeur doit effectuer une évaluation du niveau de criticité des vulnérabilités identifiées pour les vulnérabilités publiques déjà déclarées et identifiées publiquement (enregistrées avec un numéro CVE : https://nvd.nist.gov/vuln/search) des composants de la solution, et dont les codes d’exploitation publiés pourraient être utilisés. Dans le cadre du Ségur, seule la solution est auditée et le périmètre du SI n'est pas pris en compte.
Pour un score CVSS v3 supérieur ou égal à 8, une vulnérabilité est considérée comme haute. Pour un score CVSS v3 compris entre 4 et 8, une vulnérabilité est considérée comme moyenne. 
Par ailleurs, l’auditeur peut réévaluer le score CVSS d’une vulnérabilité, en particulier s’il juge qu’elle n’est pas exploitable en raison du contexte applicatif de la solution ou si des mesures de sécurité ont été mises en place pour la protéger. Dans ce cas, il est possible de valider la règle de sécurité en incluant dans les commentaires une justification de ce choix.

Lors de l'évaluation, l'auditeur doit effectuer des tests sur des points de contrôle, dont certains sont communs à tous types d'applications, et d'autres sont spécifiques à chaque type d'application. Ces points sont listés dans le formulaire du test d'intrusion comme suit :

• 18 points de contrôle communs à toutes les solutions qui doivent être systématiquement examinés par l'auditeur, quelle que soit la nature de la solution ;
• 21 à 24 points de contrôle spécifiques au type de la solution (application web, application mobile, client lourd avec une architecture de trois tiers ou plus, et client lourd avec une architecture de moins de trois tiers).

Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique en 2021, à prendre en compte pour protéger les systèmes contre les attaques.

L'auditeur a deux options pour signer électroniquement le formulaire :

1. En utilisant une plateforme de signature électronique telle que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
2. En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.

Une fois le formulaire complété (Base Commune & uniquement un onglet correspondant au type de l'application), il suffit à l'auditeur de renseigner le répertoire où il pourra sauvegarder le fichier au niveau de la ligne ""Lien"" (par défaut le lien renseignera le bureau de votre poste), ainsi que renommer le nom du questionnaire au format : ""Test intrusion_NOM APPLICATION.pdf"" (il ne faut pas supprimer l'extension du fichier). Une fois ces modifications apportées, il vous suffit de cliquer sur le bouton ""Génération PDF"".
 

NB : en cas de dysfonctionnement de la macro, le PDF peut être généré manuellement en suivant les étapes suivantes :

1. Se positionner sur l'onglet ""Résultat Formulaire"" ;
2. Sélectionner les feuilles à exporter (obligation de sélectionner l'onglet ""Résultat Formulaire"", ""Base Commune"" et le type d'application) en effectuant un ctrl+clic gauche ;
3. Une fois la sélection effectuée, cliquer sur Fichier, Exporter, Créer PDF ;
4. Renommer le document au format : ""Test intrusion_NOM APPLICATION.pdf"".

Pour remplir le test d'intrusion, l'auditeur doit :

1. S'assurer que la première page du formulaire comporte le nom ainsi qu'une description succincte de l'application ;
2. Remplir l'onglet "Base Commune" et l'onglet correspondant au type d'application indiqué dans le champ "Type d'application" ;
3. Compléter l'ensemble des règles de sécurité ;
4. Si une règle de sécurité est notée comme "N/A" ou "NON", ajouter une justification dans la section des commentaires ;
5. Générer un fichier PDF à partir de la macro du test d'intrusion ou manuellement à partir du descriptif ;
6. Signer électroniquement le formulaire de test d'intrusion.

L'auditeur intervient lors de la réalisation de l'audit et son rôle consiste à :

1. S'assurer d'avoir reçu tous les éléments opérationnels nécessaires à la réalisation de l'audit (ex. URL, adresse IP, matrices de flux, etc.) en fonction du type d'application (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers) ;
2. Évaluer la conformité de l'application à tous les points de contrôle du formulaire de test d'intrusion tel que défini dans le guide de l'utilisateur, puis le compléter ;
3. Générer un fichier PDF à partir du formulaire de test d'intrusion ;
4. Proposer à l’éditeur des mesures correctives à mettre en œuvre dans le cas où certains points de contrôle auraient été jugés non conformes ;
5. Signer électroniquement avec l'approbation d'un TSP ;
6. Transmettre le test d'intrusion à l'éditeur qui le déposera sur la plateforme Convergence.

La correction des vulnérabilités ainsi que la soumission du test d'intrusion à l'ANS doivent être effectuées avant la fin du processus de référencement.