Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
Pour assurer la complétude du formulaire, l’éditeur doit renseigner l’ensemble des informations propres à son application dans le formulaire du test d’intrusion (fichier Excel, onglet « 1 – Résultat Formulaire »). L’éditeur informera l’auditeur du type d’application correspondant à sa solution conformément au logigramme fourni dans le guide du test d'intrusion. L’auditeur vérifiera que l’éditeur a bien respecté les règles de ce logigramme.
Cette réponse vous a-t-elle été utile ?
L'auditeur a deux options pour signer électroniquement le formulaire :
- En utilisant une plateforme de signature électronique telles que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
- En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.
Cette réponse vous a-t-elle été utile ?
Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique, à prendre en compte pour protéger les systèmes contre les attaques.
Cette réponse vous a-t-elle été utile ?
Si un ou plusieurs manquements aux règles de sécurité sont présents, ces derniers doivent être corrigés avant la fin du processus de référencement. En cas de vulnérabilité majeure découverte sur la solution, toute vulnérabilité ayant un score CVSS (Common Vulnérabilité Scoring System) égal ou supérieur à 8, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé.
Cette réponse vous a-t-elle été utile ?
'Le formulaire du test d'intrusion Ségur peut être complété à posteriori par un auditeur PASSI sur la base d'un test d'intrusion réalisé précédemment, à condition que la preuve soit datée de moins d'un an à date de dépôt sur Convergence.
Cette réponse vous a-t-elle été utile ?
Cette phase a pour finalité d'échanger sur le rapport du test d'intrusion, notamment si des manquements aux règles de sécurité sont détectées. L'auditeur devra communiquer les résultats du test d'intrusion à l'éditeur en clarifiant les points suivants :
- Les détails techniques des vulnérabilités identifiées ;
- L'impact potentiel des non-conformités aux règles de sécurité et le niveau de risque associé ;
- Les solutions concrètes permettant de corriger les potentielles failles ;
- La définition des prochaines étapes (définition d’une date permettant d’évaluer de nouveau les vulnérabilités recensées).
Cette réponse vous a-t-elle été utile ?
L'auditeur intervient lors de la réalisation de l'audit et son rôle consiste à :
- S'assurer d'avoir reçu tous les éléments opérationnels nécessaires à la réalisation de l'audit (ex. URL, adresse IP, matrices de flux, etc.) en fonction du type d'application (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers) ;
- Évaluer la conformité de l'application à tous les points de contrôle du formulaire de test d'intrusion tel que défini dans le guide de l'utilisateur, puis le compléte ;
- Générer un fichier PDF à partir du formulaire de test d'intrusion ;
- Proposer à l’éditeur des mesures correctives à mettre en œuvre dans le cas où certains points de contrôle auraient été jugés non conformes ;
- Signer électroniquement avec l'approbation d'un TSP ;
- Transmettre le test d'intrusion à l'éditeur qui le déposera sur la plateforme Convergence.
Cette réponse vous a-t-elle été utile ?
Une fois le formulaire complété (Base Commune & uniquement un onglet correspondant au type de l'application), il suffit à l'auditeur de renseigner le répertoire où il pourra sauvegarder le fichier au niveau de la ligne ""Lien"" (par défaut le lien renseignera le bureau de votre poste), ainsi que renommer le nom du questionnaire au format : ""Test intrusion_NOM APPLICATION.pdf"" (il ne faut pas supprimer l'extension du fichier). Une fois ces modifications apportées, il vous suffit de cliquer sur le bouton ""Génération PDF"".
NB : en cas de dysfonctionnement de la macro, le PDF peut être généré manuellement en suivant les étapes suivantes :
- Se positionner sur l'onglet ""Résultat Formulaire"" ;
- Sélectionner les feuilles à exporter (obligation de sélectionner l'onglet ""Résultat Formulaire"", ""Base Commune"" et le type d'application) en effectuant un ctrl+clic gauche ;
- Une fois la sélection effectuée, cliquer sur Fichier, Exporter, Créer PDF ;
- Renommer le document au format : ""Test intrusion_NOM APPLICATION.pdf"".
Cette réponse vous a-t-elle été utile ?
Lors de l'évaluation, l'auditeur doit effectuer des tests sur des points de contrôle, dont certains sont communs à tous types d'applications, et d'autres sont spécifiques à chaque type d'application. Ces points sont listés dans le formulaire du test d'intrusion comme suit :
- 18 points de contrôle communs à toutes les solutions qui doivent être systématiquement examinés par l'auditeur, quelle que soit la nature de la solution ;
- 21 à 24 points de contrôle spécifiques au type de la solution (application web, application mobile, client lourd avec une architecture de trois tiers ou plus, et client lourd avec une architecture de moins de trois tiers).
Cette réponse vous a-t-elle été utile ?
Un secret désigne toute donnée sensible et protéiforme caractérisée par son usage dans les processus d’authentification des utilisateurs et de contrôle d’accès à des ressources et/ou fonctionnalités de composants système ou applicatif. Elle peut désigner des identifiants de comptes, identifiants de session, mots de passe, clés de chiffrement, clés d’API, jetons d’authentification, etc.
Sauf exception justifiée liée à la réglementation, aucun secret n'est journalisé par défaut. Dans le cas contraire, la confidentialité des données doit être garantie dans les traces (utilisation d'un hash, etc.).
Cette réponse vous a-t-elle été utile ?
Le plan d'assurance sécurité du système (PAS) est un document qui définit les mesures de sécurité et les engagements entre l'hébergeur et la structure utilisatrice pour l'environnement de mise en œuvre du système. Il vise à garantir la sécurité des données et des composants du système lorsqu'ils sont hébergés par un tiers ou fournis sous forme de services (SaaS).
Cette réponse vous a-t-elle été utile ?
L'architecture 2-tiers se compose de deux principales couches (la couche client et la couche serveur) tandis que l'architecture 3-tiers ajoute une couche intermédiaire, généralement appelée la couche applicative. Une couche applicative peut accroître la sécurité de la solution en effectuant un tampon entre la présentation côté client et les données côté serveur et en permettant une gestion centralisée de l'application sur le serveur.
Cette réponse vous a-t-elle été utile ?
Les preuves requises consistent en des captures d'écran ou des séquences vidéo illustrant les mesures de gestion des accès et des identités.
Cette réponse vous a-t-elle été utile ?
Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 dans le cadre de l'exigence SC.SSI/GEN.18 qui stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.
Cette réponse vous a-t-elle été utile ?
Le périmètre du test d’intrusion doit être parfaitement cadré pour limiter les impacts sur l’application ou le système d’information. Ainsi, la prestation doit être réalisée de préférence sur un environnement « iso-prod » (tel qu’un environnement de développement, de test, etc.) plutôt que sur un environnement de production.
Cette réponse vous a-t-elle été utile ?
Les ressources mises à disposition pour la réalisation du test d'intrusion sont le formulaire du test d'intrusion et le guide d'utilisation.
- Le formulaire du test d'intrusion comprend des contrôles de sécurité classés en deux catégories selon leur niveau de gravité (haute ou moyenne), et qui concernent soit tous les types d'application, soit un type d'application spécifique (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers).
- Le guide d’utilisation du formulaire du test d'intrusion fournit une vue d'ensemble détaillée des éléments nécessaires à la réalisation d'un test d'intrusion. Il couvre chaque phase du test, en tenant compte des rôles distincts de l'éditeur et de l'auditeur. Le guide fournit également des informations sur la classification des applications, ainsi que des définitions et des précisions sur certains points de contrôle du formulaire.
Cette réponse vous a-t-elle été utile ?
Les tests d'intrusion se déroulent en trois phases : la phase de cadrage, la phase de test et la phase de rapport.
- La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.
- La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.
- La phase de rapport consiste à la fourniture par l'auditeur du rapport du test d’intrusion en remplissant et en signant électroniquement le formulaire correspondant. Ce document regroupe l’ensemble des résultats du test d’intrusion ainsi que le référencement de l’application.
Cette réponse vous a-t-elle été utile ?
Le rôle de l'éditeur consiste à intervenir en amont de l'audit afin de fournir à l'auditeur l'ensemble des éléments nécessaires à la réalisation de la prestation incluant :
- La définition du périmètre du test d'intrusion, la mise à disposition d'une version majeure du logiciel correspondant à la production, la désactivation des dispositifs de sécurité non liés à la solution commerciale et à la conduite de l'évaluation ;
- Les éléments opérationnels nécessaires à la réalisation de l'audit (ex : URL, adresse IP, matrices de flux, etc.) selon la typologie de chaque application (application WEB, application Mobile, client lourd 3 tiers ou plus et client lourd moins de trois tiers).
En cas de vulnérabilité de gravité haute, ou de présence d'un nombre de vulnérabilités de gravité moyenne supérieur au seuil défini par l'ANS, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé et pourra grâce à la clause de revoyure corriger les vulnérabilités puis par la suite transmettre le test d'intrusion sur Convergence.
Cette réponse vous a-t-elle été utile ?
Vous devrez redéposer vos preuves sur chaque DSR sur lesquels vous souhaitez candidater.
Cette réponse vous a-t-elle été utile ?
La correction des vulnérabilités ainsi que la soumission du test d'intrusion à l'ANS doivent être effectuées avant la fin du processus de référencement.
Cette réponse vous a-t-elle été utile ?