FAQ de l'offre : Ségur du numérique en santé

La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.

Les tests d'intrusion se déroulent en trois phases : la phase de cadrage, la phase de test et la phase de rapport. Ces phases sont décrites dans le guide d'utilisation du formulaire du test d'intrusion.

• La phase de cadrage est la phase qui précède les tests techniques. Elle est organisée par l'éditeur et consiste à communiquer les détails de l'audit au prestataire choisi pour effectuer l'audit, tels que les dates, l'environnement, les contacts, la documentation, etc.
• La phase de test implique la réalisation de tests en boîte grise, où l'auditeur dispose d'informations préalables, ainsi que la réalisation de compléments en boîte noire, où l'auditeur agit sans informations préalables dans le but de repérer les failles et d'obtenir une évaluation exhaustive de la sécurité de l'application. Cette phase dure en moyenne 3 à 4 jours.
• La phase de rapport consiste à la fourniture par l'auditeur du rapport du test d’intrusion en remplissant et en signant électroniquement le formulaire correspondant. Ce document regroupe l’ensemble des résultats du test d’intrusion ainsi que le référencement de l’application.

La phase de rapport consiste à la fourniture par l'auditeur du rapport du test d’intrusion en remplissant et en signant électroniquement le formulaire correspondant. Ce document regroupe l’ensemble des résultats du test d’intrusion ainsi que le référencement de l’application.  

Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique en 2021, à prendre en compte pour protéger les systèmes contre les attaques.

L'auditeur a deux options pour signer électroniquement le formulaire :

1. En utilisant une plateforme de signature électronique telles que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
2. En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.

Une fois le formulaire complété (Base Commune & uniquement un onglet correspondant au type de l'application), il suffit à l'auditeur de renseigner le répertoire où il pourra sauvegarder le fichier au niveau de la ligne ""Lien"" (par défaut le lien renseignera le bureau de votre poste), ainsi que renommer le nom du questionnaire au format : ""Test intrusion_NOM APPLICATION.pdf"" (il ne faut pas supprimer l'extension du fichier). Une fois ces modifications apportées, il vous suffit de cliquer sur le bouton ""Génération PDF"".
 

NB : en cas de dysfonctionnement de la macro, le PDF peut être généré manuellement en suivant les étapes suivantes :

1. Se positionner sur l'onglet ""Résultat Formulaire"" ;
2. Sélectionner les feuilles à exporter (obligation de sélectionner l'onglet ""Résultat Formulaire"", ""Base Commune"" et le type d'application) en effectuant un ctrl+clic gauche ;
3. Une fois la sélection effectuée, cliquer sur Fichier, Exporter, Créer PDF ;
4. Renommer le document au format : ""Test intrusion_NOM APPLICATION.pdf"".

Pour remplir le test d'intrusion, l'auditeur doit :

1. S'assurer que la première page du formulaire comporte le nom ainsi qu'une description succincte de l'application ;
2. Remplir l'onglet "Base Commune" et l'onglet correspondant au type d'application indiqué dans le champ "Type d'application" ;
3. Compléter l'ensemble des règles de sécurité ;
4. Si une règle de sécurité est notée comme "N/A" ou "NON", ajouter une justification dans la section des commentaires ;
5. Générer un fichier PDF à partir de la macro du test d'intrusion ou manuellement à partir du descriptif ;
6. Signer électroniquement le formulaire de test d'intrusion.

L'auditeur intervient lors de la réalisation de l'audit et son rôle consiste à :

1. S'assurer d'avoir reçu tous les éléments opérationnels nécessaires à la réalisation de l'audit (ex. URL, adresse IP, matrices de flux, etc.) en fonction du type d'application (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers) ;
2. Évaluer la conformité de l'application à tous les points de contrôle du formulaire de test d'intrusion tel que défini dans le guide de l'utilisateur, puis le compléter ;
3. Générer un fichier PDF à partir du formulaire de test d'intrusion ;
4. Proposer à l’éditeur des mesures correctives à mettre en œuvre dans le cas où certains points de contrôle auraient été jugés non conformes ;
5. Signer électroniquement avec l'approbation d'un TSP ;
6. Transmettre le test d'intrusion à l'éditeur qui le déposera sur la plateforme Convergence.

La correction des vulnérabilités ainsi que la soumission du test d'intrusion à l'ANS doivent être effectuées avant la fin du processus de référencement.

Pour assurer la complétude du formulaire, l’éditeur doit renseigner l’ensemble des informations propres à son application dans le formulaire du test d’intrusion (fichier Excel, onglet « 1 – Résultat Formulaire »).  L’éditeur informera l’auditeur du type d’application correspondant à sa solution conformément au logigramme fourni dans le guide du test d'intrusion. L’auditeur vérifiera que l’éditeur a bien respecté les règles de ce logigramme.