Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Le corpus documentaire associé au projet DRIM-M n’impose pas de mise en œuvre d’une fonctionnalité de filtrage IP dans le cadre de l’implémentation du service Healthcheck par les logiciels DRIMBox. 
Cependant, si pour des raisons de sécurité ou autre un éditeur de logiciel DRIMBox souhaite que cette opération de filtrage ait lieu, alors l’implémentation de celle-ci doit inclure une composante flexible afin de pouvoir suivre les évolutions liées au contenu de la whitlelist des adresses IP utilisées par les sondes healthcheck. 
Une mise à jour « dynamique » de la whitelist des adresses IP associées aux sondes healthcheck semble dont être la solution à privilégier. Afin d’implémenter ce processus, nous vous invitons à consulter la page de questions utilisateurs associée au service BetterStack : https://betterstack.com/docs/uptime/frequently-asked-questions/#looking-for-a-machine-readable-list. Il y est notamment indiqué que la whitelist des adresses IP peut être récupérée de manière automatique au format .txt ou .json. Ce fichier mentionne les adresses IPv4 de l'exhaustivité des sondes déployées par BetterStack.
En complément de ces informations, nous pouvons indiquer que dans le cas où un décalage entre la whitelist IP implémentée au sein du logiciel DRIMBox et la whitelist IP mise à disposition par Betterstack conduirait à l’affectation d’un statut « hors service » associé à la DRIMBox au sein de la météo des services ANS, alors l'ANS sera en mesure d’investiguer afin de déterminer si le processus d’actualisation de la whitelist IP est en cause. Dans ce cas, une discussion entre les acteurs institutionnels et l’éditeur de logiciel pourrait avoir lieu afin d’arbitrer cette situation.

Tel qu'indiqué au sein de la spécification projet DRIMBox et précisé par le Guide d'Intégration à l'Espace de Confiance DRIM-M, seule une constatation de l'absence de mention du logiciel DRIMBox au sein de la liste blanche récupérée implique une interruption de service de celui-ci. 
En cas d'indisponibilité de la liste blanche supérieure à 48h (serveur inaccessible ou document récupéré inexploitable), le logiciel DRIMBox conserve la possibilité d'utiliser la précédente version de la liste blanche archivée localement.

Trois phases peuvent être distinguées afin d'assurer la gestion du cycle de vie d'un examen d'imagerie au niveau de l'archive locale associée au logiciel DRIMBox :

1. Dans le cadre de la réalisation d'un examen d'imagerie, un compte-rendu d'imagerie ainsi qu'un ensemble d'images médicales sont produits. Ces informations, une fois envoyées à la fonctionnalité source du logiciel DRIMBox, permettent la création d'un document KOS mentionnant l'ensemble des informations à utiliser afin d'accéder ultérieurement aux images. Une fois le document KOS créé par le logiciel DRIMBox et publié au sein de l'environnement DMP (transaction TD2.1a du Guide d'Intégration DMP), une nouvelle entrée est ajoutée au sein de l'archive locale de la DRIMBox (pour plus de précisions, voir section 4.5.7 de la spécification projet DRIMBox).
2. Dans le cadre d'une modification de contenu d'un examen d'imagerie (suppression/ajout d'images médicales, changement de visibilité du compte-rendu d'imagerie, ou autre), le document KOS associé doit être mis à jour en conséquence par le logiciel DRIMBox et remplacé au sein de l'environnement DMP (transaction TD2.1b du Guide d'Intégration DMP). Une fois la mise à jour effectuée auprès de l'environnement DMP, celle-ci doit également être répercutée au niveau de l'archive locale associée au logiciel DRIMBox. Cet ajustement aura pour conséquence un remplacement du document KOS archivé, ainsi que du lot de soumission associé (fichier METADATA.xml).
3. Dans le cadre d'une dépublication d'un compte-rendu d'imagerie ou en cas de  suppression de l'intégralité des images associées à un examen d'imagerie médicale, alors le document KOS associé doit être dépublié de l'environnement DMP (transaction TD3.3c du Guide d'Intégration DMP). Conformément aux indications fournies en section 4.5.8.1 de la spécification projet DRIMBox, le document KOS sera alors être identifié comme dépublié au niveau du stockage local. L’objet DICOM KOS en tant que tel peut éventuellement être supprimé de la base d’archivage, mais son identification et statut doivent être tracés afin de fournir une réponse précise lors de la demande d’accès aux images qu'il référence. 

Afin de tester l'intégralité des mécanismes de contrôle implémentés par les Solutions DRIMBox candidates au référencement SEGUR DRIM-M, certaines situations "non-passantes" sont intégrées au sein des scénarios de test définis dans ce contexte.

Ces cas d'erreur peuvent résulter de l'exploitation de jeux de données volontairement corrompus ou d'interaction entre la solution DRIMBox et un simulateur présentant un défaut de configuration intentionnel.

Il est donc cohérent que pour ces situations l'utilisateur constate un résultat d'exécution non-passant au sein de l'interface du simulateur/validateur. 

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Il est nécessaire de :

• préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ; 
• préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ; 
• préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ; 
• préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ; 
• éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ; 
• préciser les protocoles ne pouvant être chiffrés, le cas échéant.

Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :

• qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
• qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne. 

Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.