FAQ de l'offre : Ségur du numérique en santé

La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. La seule obligation est de faire réaliser le test d'intrusion par un organisme qualifié PASSI.
La liste des prestataires de services qualifiés peut être retrouvée ici : https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees

NB : Le lien ci-dessus est susceptible de changer si l'ANSSI y apporte des modifications à posteriori.

La phase de rapport consiste à la fourniture par l'auditeur du rapport du test d’intrusion en remplissant et en signant électroniquement le formulaire correspondant. Ce document regroupe l’ensemble des résultats du test d’intrusion ainsi que le référencement de l’application.  

Lors du test d'intrusion, les types de vulnérabilités évalués sont principalement basés sur le référentiel de l'Open Web Application Security Project (OWASP) regroupant les dix vulnérabilités les plus critiques et les plus courantes en matière de sécurité informatique en 2021, à prendre en compte pour protéger les systèmes contre les attaques.

L'auditeur a deux options pour signer électroniquement le formulaire :

1. En utilisant une plateforme de signature électronique telles que Docusign, Yousign ou Docaposte qui s'appuient sur des prestataires de Services de Confiance (TSP) pour fournir des certificats de signatures conformes à la réglementation. Pour ce faire, l'auditeur peut télécharger le formulaire sur la plateforme choisie, y apposer sa signature électronique, et ensuite transmettre le document signé électroniquement à l'éditeur ;
2. En utilisant une application bureautique telle Adobe Acrobat avec un certificat de signature électronique délivré par un Prestataire de Services de Confiance (TSP). Dans ce cas, l'auditeur ouvre le PDF, signe le document électroniquement à l'aide du certificat de signature, puis enregistre le formulaire signé avant de le transmettre à l'éditeur.

Une fois le formulaire complété (Base Commune & uniquement un onglet correspondant au type de l'application), il suffit à l'auditeur de renseigner le répertoire où il pourra sauvegarder le fichier au niveau de la ligne ""Lien"" (par défaut le lien renseignera le bureau de votre poste), ainsi que renommer le nom du questionnaire au format : ""Test intrusion_NOM APPLICATION.pdf"" (il ne faut pas supprimer l'extension du fichier). Une fois ces modifications apportées, il vous suffit de cliquer sur le bouton ""Génération PDF"".
 

NB : en cas de dysfonctionnement de la macro, le PDF peut être généré manuellement en suivant les étapes suivantes :

1. Se positionner sur l'onglet ""Résultat Formulaire"" ;
2. Sélectionner les feuilles à exporter (obligation de sélectionner l'onglet ""Résultat Formulaire"", ""Base Commune"" et le type d'application) en effectuant un ctrl+clic gauche ;
3. Une fois la sélection effectuée, cliquer sur Fichier, Exporter, Créer PDF ;
4. Renommer le document au format : ""Test intrusion_NOM APPLICATION.pdf"".

Pour remplir le test d'intrusion, l'auditeur doit :

1. S'assurer que la première page du formulaire comporte le nom ainsi qu'une description succincte de l'application ;
2. Remplir l'onglet "Base Commune" et l'onglet correspondant au type d'application indiqué dans le champ "Type d'application" ;
3. Compléter l'ensemble des règles de sécurité ;
4. Si une règle de sécurité est notée comme "N/A" ou "NON", ajouter une justification dans la section des commentaires ;
5. Générer un fichier PDF à partir de la macro du test d'intrusion ou manuellement à partir du descriptif ;
6. Signer électroniquement le formulaire de test d'intrusion.

L'auditeur intervient lors de la réalisation de l'audit et son rôle consiste à :

1. S'assurer d'avoir reçu tous les éléments opérationnels nécessaires à la réalisation de l'audit (ex. URL, adresse IP, matrices de flux, etc.) en fonction du type d'application (application web, application mobile, client lourd 3 tiers ou plus et client lourd inférieur à 3 tiers) ;
2. Évaluer la conformité de l'application à tous les points de contrôle du formulaire de test d'intrusion tel que défini dans le guide de l'utilisateur, puis le compléter ;
3. Générer un fichier PDF à partir du formulaire de test d'intrusion ;
4. Proposer à l’éditeur des mesures correctives à mettre en œuvre dans le cas où certains points de contrôle auraient été jugés non conformes ;
5. Signer électroniquement avec l'approbation d'un TSP ;
6. Transmettre le test d'intrusion à l'éditeur qui le déposera sur la plateforme Convergence.

La correction des vulnérabilités ainsi que la soumission du test d'intrusion à l'ANS doivent être effectuées avant la fin du processus de référencement.

Pour assurer la complétude du formulaire, l’éditeur doit renseigner l’ensemble des informations propres à son application dans le formulaire du test d’intrusion (fichier Excel, onglet « 1 – Résultat Formulaire »).  L’éditeur informera l’auditeur du type d’application correspondant à sa solution conformément au logigramme fourni dans le guide du test d'intrusion. L’auditeur vérifiera que l’éditeur a bien respecté les règles de ce logigramme.

Le rôle de l'éditeur consiste à intervenir en amont de l'audit afin de fournir à l'auditeur l'ensemble des éléments nécessaires à la réalisation de la prestation incluant :

• La définition du périmètre du test d'intrusion, la mise à disposition d'une version majeure du logiciel correspondant à la production, la désactivation des dispositifs de sécurité non liés à la solution commerciale et à la conduite de l'évaluation ;
• Les éléments opérationnels nécessaires à la réalisation de l'audit (ex : URL, adresse IP, matrices de flux, etc.) selon la typologie de chaque application (application WEB, application Mobile, client lourd 3 tiers ou plus et client lourd moins de trois tiers).

En cas de vulnérabilité de gravité haute, ou de présence d'un nombre de vulnérabilités de gravité moyenne supérieur au seuil défini par l'ANS, l'auditeur doit en informer l'éditeur qui transmettra l'information au CERT Santé et pourra grâce à la clause de revoyure corriger les vulnérabilités puis par la suite transmettre le test d'intrusion sur Convergence.