FAQ de l'offre : Ségur du numérique en santé

En cas d'indisponibilité de la plateforme oSIS V3, le candidat doit soumettre les questionnaires complétés sous la forme d'un fichier Excel, disponible sur le site du programme CaRE de l'ANS. Les champs à renseigner dans ce fichier sont identiques à ceux des formulaires correspondants de l'oSIS V3.

L'utilisation des kit de l'ANS est fortement recommandée. Ils comportent plusieurs niveaux de difficulté. Ils peuvent être l’opportunité pour les Etablissements de Santé (ES) de passer à un niveau supérieur si leur maturité s’est améliorée.

L’ensemble de ce qui est exposé par le GHT doit être audité et à la cible. Le GHT a pour autant le choix de réaliser des audits uniques sur tout son périmètre ou plusieurs audits pour couvrir ce périmètre (au niveau de chaque EJ, par exemple).

Il est indispensable que tout le périmètre soit couvert indépendamment du nombre d'audits pour y arriver. Concernant le score attendu attestant l'absence de vulnérabilité critique, il peut également être global ou réparti sur plusieurs audits, tant que tout le périmètre est couvert.

Les tests SILENE sont effectués mensuellement avec, donc, un intervalle inférieur à 45 jours. Le délai minimal ne concerne que le D1.O2. B : l’intervalle entre deux audits successifs doit être de 45 jours minimum et de 60 jours maximum pour évaluer l'atteinte de niveau de sécurisation minimum d'exposition internet. Pour vérifier la pertinence des corrections apportées, les intervalles peuvent être faibles mais avec une fréquence de réalisation "élevée".

L'esprit de la règle est d'éviter d'avoir deux audits très rapprochés qui ne démontrent pas le maintien dans le temps du niveau atteint. 

Seule la détection d'une vulnérabilité de niveau critique (niveau rouge CVSS > 9) sur les 2 derniers audits successifs d'exposition internet est bloquante pour l'atteinte de l'objectif D1.O2.B.

La détection d'une vulnérabilité de niveau haute (niveau orange CVSS comprise entre 7 et 9) n'est pas rédhibitoire. Elle doit cependant être corrigée avant le prochain audit.

Vous pouvez vous référer au guide détaillé des prérequis et des objectifs (https://esante.gouv.fr/Guide%20des%20pr%C3%A9requis%20et%20objectifs%20du%20domaine%201).

Selon le cahier de charges : "L’exposition d’une vulnérabilité critique sur internet par une solution logicielle ou matérielle ne signifie pas automatiquement que cette vulnérabilité est exploitable. Des contremesures externes au composant concerné ont pu être mises en œuvre pour réduire le risque de compromission. Pour vérifier la mise en œuvre de ces mesures et réévaluer si besoin la cotation de la vulnérabilité, il est fortement recommandé de prendre contact avec le RSSI ou le référent sécurité de l’établissement." ​

Si des mesures sont mises en œuvre pour atténuer ces vulnérabilités, la cotation de celles-ci peut être réévaluée. Pour cela, un dialogue doit avoir lieu entre le RSSI et l’auditeur (c’est-à-dire l’industriel retenu par le candidat pour effectuer les audits d’exposition internet) afin d'évaluer le niveau de criticité résiduel. Toute décision justifiant la baisse de niveau de criticité doit être justifiée et étayée (justificatif à l’appui) par le RSSI et mentionnée dans le rapport d'audit.​ ​

Si le dialogue n'aboutit pas à une solution, l'auditeur doit être recadré en rappelant le contexte de dialogue promu dans le cahier des charges.

Non, dans la mesure où son infrastructure n'est pas opérée par l'établissement. En revanche, si un point d'accès existe entre l'application et le SIH (VPN, API...), celui-ci fait partie du périmètre.

De manière générale, il n'est pas possible d'exclure simplement des sites "vitrines" ou qui n’auraient "aucun lien avec le SI" du périmètre, car les situations sont très diverses. Chaque vulnérabilité doit être analysée, et si le risque résiduel est faible, cela doit être mentionné dans le rapport d'audit. ​

La notion de site "sans lien avec le SI" est discutable. Par exemple, un site institutionnel sans lien technique avec le SI hospitalier, mais qui publie des ressources statiques, peut présenter des risques. S'il renvoie vers des plateformes externes de paiement ou un portail patient, sa compromission pourrait permettre des détournements de paiements ou la récupération de credentials. Ces risques ne doivent pas être ignorés et doivent être inclus dans le périmètre, bien qu'ils puissent être mitigés lors de l'audit.​

Concernant les hébergeurs, ils proposent tous, et notamment OVH, des offres qui vont de l’hébergement grand public (qui expose souvent du FTP effectivement) à de l’hébergement professionnel dédié, et pour certains avec des options HDS, avec toute une gamme intermédiaire. Évidemment les coûts sont croissants, et doivent être en rapport avec la finalité du site.

La migration d'un AD au cours de la phase opérationnelle n'aura pas d'impact. Le nouvel AD devra cependant être fonctionnel au moment de la déclaration de l'atteinte des objectifs et respecter la cible de l'objectif D1.O2.B (2 audits ADS successifs avec un score supérieur ou égal à 2).​

Dans le cas d’une migration vers Azure AD, 2 cas de figure sont possibles : ​

- Configuration hybride cloud/local : la recopie locale doit être auditée via le service ADS de l'ANSSI.​

- Configuration 100% cloud : Pour les établissements qui utilisent Azure AD / Microsoft Entra ID (AD dans le cloud), l’outil ORADAD ne fonctionne pas avec ce type d’architecture. Un outil spécifique appelé ORADAZ, adapté à ce type d’architecture, est en cours de développement par l‘ANSSI. En revanche, sa mise en production pour la phase opérationnelle du Domaine "Annuaires techniques et exposition sur internet" ne peut pas être garantie. Dans ce cas, il est nécessaire que les ES concernés se fassent connaître auprès de la direction de programme pour identifier les modalités d'accompagnement à mettre en place.

La sécurisation des annuaires techniques reste un des pivots de ce premier appel à financement. Avant de pouvoir répondre à cette question, les ES doivent préciser leur situation auprès des ARS et fournir notamment les éléments suivants : architecture (nombre de postes, d'utilisateurs), infrastructure générale de l'établissement (réseau, datacenter...), et actions de remédiation prévues pour le domaine.

Les ES sont également invités à prendre contact avec le support ANS du programme pour présenter leur situation et l'infrastructure mise en place (https://esante.gouv.fr/contact).