FAQ de l'offre : Ségur du numérique en santé

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 : 
- pour les éditeurs soumis à l'homologation Espace de Confiance ProSantéConnect, dans le cadre de l'exigence SC.PSC.14 ;
- pour le profil AHI du couloir médico-social, dans le cadre de l'exigence SC.SSI/GEN.18.
Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Dans le cadre de l’exigence de traçabilité et afin de pouvoir investiguer en cas d’incident de sécurité, la durée de conservation minimale est de 6 mois. Cette durée de conservation peut généralement aller jusqu’à deux ou trois ans. Elle est à déterminer au cas par cas, en se référant aux préconisations de la CNIL.

Le numéro RRPS doit être utilisé lorsqu’il existe. Lorsqu’il n’existe pas et qu’un autre numéro national est disponible, l’utilisation de cet autre numéro est tolérée. 

Les preuves demandées sont de la documentation spécifique, une attestation sur l'honneur selon l'exigence, ainsi que le formulaire du test d'intrusion dans le cadre de l'exigence SC.SSI/GEN.18 (Profil AHI uniquement*). Elles permettent de vérifier que les processus en question sont bien mis en œuvre et conformes à une démarche SSI.

*Pour les autres solutions du couloir médico-social, le test d'intrusion est porté par l'exigence SC.PSC.14 dans le cadre de l'homologation Espace de Confiance ProSantéConnect.

Il est demandé qu’une fréquence de sauvegarde des données soit prévue dans la documentation, mais aucune fréquence n’est définie pour cette exigence.  
Il convient à chaque éditeur de définir ce qui est acceptable au regard du contexte d’utilisation de sa solution.   
Selon l’ANSSI, une stratégie de sauvegarde doit notamment tenir compte de la perte de données maximale admissible (PDMA) et de la durée maximale d’interruption admissible (DMIA) définies pour l’ensemble des valeurs métier du SI de l’entité (applications, données). 

Si l’utilisation des macros était bloquée pour des raisons de sécurité, nous recommandons à l’auditeur de se mettre dans un environnement sécurisé afin de les exécuter (VM, docker ou station isolée du SI). 

Les auditeurs issus d'entreprises qualifiées PASSI possèdent les compétences nécessaires pour réaliser des tests d'intrusion sans nécessiter de scénario de test prédéfini. L'ANS reconnaît leur légitimité pour mener à bien ces audits et prendre des décisions éclairées. 
De plus, si l'auditeur a des questions, il a la possibilité de les soumettre à l'ANS pour obtenir des éclaircissements. 
L'audit s'effectue en collaboration entre l'éditeur et l'auditeur. En cas de doutes ou de questions, il est fortement recommandé de discuter directement avec votre auditeur, notamment lors des phases de cadrage et reporting, afin d'assurer la clarté et la compréhension mutuelle du processus.

La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.

La clause de revoyure permet d'avoir un engagement de la part de l'auditeur pour tester de nouveau les exigences non validées lors du test d'intrusion et d'effectuer un contre-audit afin de vérifier si les mesures de sécurité nécessaires ont été mises en œuvre.

La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.