FAQ de l'offre : Ségur du numérique en santé

ORADAD est un outil qui évolue et de nouvelles vulnérabilités peuvent être signalées. C'est le cas pour le point de contrôle de niveau 1 concernant l'obsolescence des contrôleurs de domaine, effectif à partir de novembre 2024. Seuls les contrôleurs de domaine sont pris en compte pour ce point de contrôle ADS. Si les établissements rencontrent des difficultés pour la mise en conformité de leurs infrastructures, nous les invitons à nous contacter.​

Par ailleurs, un nouveau rapport ADS peut être généré en complément du rapport initial. Ce rapport, actuellement en version bêta, analyse les GPO de la forêt AD. Ce rapport GPO est destiné à être intégré au rapport ADS et pourrait éventuellement affecter le scoring. Cependant, l'évolution du scoring n'interviendra pas en 2025. Le rapport GPO n'aura donc aucune incidence sur l'atteinte des objectifs du domaine. De manière générale, les nouveaux points de vérification passent par une phase où ils n'impactent pas le score avant d'être considérés dans l'évaluation.

À ce jour, aucune autre évolution susceptible d'impacter l'atteinte des objectifs n'a été identifiée. ​

La plateforme cybersurveillance n'est pas une plateforme compatible avec le Domaine "Audit techniques et Exposition internet". Vous pouvez toutefois réaliser cet audit en complément d'un audit compatible

La date du 20 septembre étant la date limite de début de la phase opérationnelle. la date du 20 novembre est implicitement la date butoir, au titre des objectifs D1.O1.A (fréquence des audits ADS) et D1.O2.A (fréquence des audits d’exposition) pour que chaque candidat ait réalisé un premier audit ADS et un premier audit d’exposition internet.​

​Cette date du 20 novembre correspond :​

- A la date d'inscription au club SSI pour les audits SILENE ​

- A la date de demande d’un audit ORADAD (dépôt du dump d’un AD sur le portail dédié).​

Le fait que le rapport d'audit soit disponible après cette date n'aura pas d'impact sur l’atteinte de l’objectif. ​

Si l'établissement n'a pas réalisé les premiers audits avant le 20/11, les objectifs correspondants du domaine ne seront pas atteints.

NB : Le club SSI met à disposition une FAQ couvrant divers sujets, de l'inscription au club à la réalisation des audits, etc. Pour toute question relative aux services ADS et/ou SILENE, nous recommandons de consulter cette FAQ (https://club.ssi.gouv.fr/#/faq).

Non, l'objectif est bien d'atteindre un score de 2 et ces mesures ne seront pas prise en compte.

'Conformément à l'objectif D1.O2.A, des audits doivent être réalisés tous les deux mois sur l'ensemble du périmètre exposé durant la phase opérationnelle. Pour ce faire, il est nécessaire d'utiliser le service SILENE (ANSSI) ou une plateforme d'audit industrielle conforme au cahier des charges.

Selon l'objectif D1.O2.B, les deux derniers rapports d'audit ne doivent pas présenter de vulnérabilités critiques. Seule une plateforme d’audit industrielle conforme au cahier des charges peut être utilisée pour ces audits. Il est recommandé, mais non obligatoire, que ces audits soient réalisés par la même société.

La réalisation de l’audit est obligatoire pour prétendre aux financements du Domaine "Annuaires techniques et exposition sur internet". Nous rappelons que l'intérêt de cet audit réside dans le fait que la sécurité de l'AD est souvent mise en cause lors des attaques, quel que soit le domaine d'activité. De plus, le DPI n’est pas le seul élément du SIH contenant des données sensibles.

Il est rappelé que dans le cadre de l'objectif D1.O6, il est attendue une trajectoire de convergence et non la trajetoire en elle-même. Ces dépenses n'étant pas nécessaires à la formalisation de la trajectoire, elle ne sont donc pas éligibles.

Ce type d’outil ne rentre pas dans le périmètre des audits d’exposition, car la demande porte sur un outil de surveillance des fuites de données et non sur la remédiation de potentielles vulnérabilités.

Uniquement la partie qui concourt à l’atteinte de l’objectif : si la version du CMS utilisée expose des vulnérabilités critiques, sa mise à jour peut être prise en compte. Si des modules complémentaires développés par l’établissement sont dans le même cas, leur redéveloppement peut être pris en compte. En revanche, les travaux de charte graphique, éditoriaux, etc. ne sont pas éligibles. ​

Une dépense est éligible si elle contribue à l'atteinte des objectifs du domaine. Toute dépense qui concourt directement à la remédiation ou à la détection immédiate d'éléments nécessitant la remédiation, est éligible. Les dépenses suivantes n'y concourant pas, elles ne sont pas éligibles (liste non exhaustive) :

- Une application SaaS exposée par un fournisseur

- Une analyse de risque, un EDR ou un abonnement PRIS

- Mise en place d'un gestionnaire de mot de passe

- Mise en place d'un outil de MAJ sur des serveurs LINUX sans les arrêter