Qu'est-ce que le programme Ségur numérique ?
Le Ségur du numérique en santé
Le système de santé français connaît une transformation numérique grâce au programme Ségur numérique. Lancé en 2021 dans le cadre des accords du Ségur de la Santé, ce programme vise à moderniser les infrastructures numériques des établissements de santé et à accélérer l’interopérabilité des systèmes. Son objectif principal : garantir un partage fluide et sécurisé des données de santé entre les professionnels et les patients, tout en répondant aux exigences croissantes en matière de cybersécurité et de confidentialité.
Les pilotes de la transition : l'ANS et l'ARS
Pour orchestrer et piloter cette transition, plusieurs acteurs clés jouent un rôle central avec principalement l'ANS et les ARS. L’ANS (L’Agence du Numérique en Santé) est l’organisme public chargé de la gouvernance des projets numériques dans le domaine de la santé. Elle définit les standards d’interopérabilité et assure la cohérence des initiatives numériques au niveau national. Dans le cadre du Ségur numérique, elle accompagne les établissements et les éditeurs de logiciels pour garantir une mise en œuvre harmonisée et conforme aux exigences techniques. Les ARS (Agences Régionales de Santé), en tant que relais régionaux du ministère de la Santé, jouent un rôle essentiel dans la coordination locale des projets du programme. Elles accompagnent les établissements de santé et médico-sociaux dans l’adoption des outils numériques, veillant à leur déploiement dans un cadre sécurisé et adapté aux besoins territoriaux.
Vague 1 et Vague 2 Ségur
Le programme Ségur du numérique en santé a été divisé en plusieurs vagues. Il y a eu une première vague lancée en juillet 2021 qui s'est concentré sur la conformité au services socles indispensables pour permettre la diffusion systématique de l’information médicale, vers le patient et vers les autres professionnels du parcours de soins. Celle concernait les Logiciels de Gestion de Cabinet (LGC) pour les médecins de villes, les Systèmes de Gestion pour les Laboratoires (SGL) pour la biologie médicale, les Dossiers Patients Informatisés (DPI) pour les hôpitaux, etc.
La deuxième vague lancée le 16 mai 2024 a pour but de compléter et renforcer le périmètre des logiciels de la vague 1 pour entre autres faciliter la consultation de l'information disponible dans Mon espace santé par les professionnels, faciliter l'intégration des documents médicaux reçus par MSSanté ou encore renforcer la sécurité des systèmes d'information.
Axes stratégiques
Le programme Ségur numérique repose sur plusieurs axes stratégiques :
- Interopérabilité des systèmes de santé : les solutions numériques doivent pouvoir communiquer entre elles pour offrir une vision complète du parcours de soins du patient, du cabinet médical à l’hôpital, en passant par le médico-social.
- Accessibilité des données pour les patients : chaque citoyen doit pouvoir accéder à ses données de santé via des outils comme Mon Espace Santé, tout en garantissant leur confidentialité.
- Cybersécurité renforcée : la transformation numérique nécessite une infrastructure robuste face aux menaces croissantes, qu’il s’agisse de cyberattaques ou de fuites de données sensibles.
En répondant à ces défis, le Ségur numérique ambitionne de transformer durablement le système de santé en améliorant à la fois la qualité des soins, la coordination entre les professionnels, et l’expérience des patients.
Dans ce contexte, la cybersécurité, et notamment les pratiques telles que les tests d’intrusion, joue un rôle crucial. Elle garantit que cette transition numérique ne se fasse pas au détriment de la protection des données et de la confiance des utilisateurs.
Les pentests dans le cadre du Ségur du numérique
Le programme SONS
Le programme SONS (Système Ouvert et Non Sélectif) est un dispositif d’achat mis en place par l’État au bénéfice des acteurs de l’offre de soins. Ce mécanisme permet aux établissements sanitaires et aux professionnels de santé de s’équiper de solutions logicielles bénéficiant d’un référencement officiel par l’ANS (Agence du Numérique en Santé).
En centralisant et facilitant l’acquisition de logiciels conformes aux standards de sécurité et d’interopérabilité, le SONS contribue à homogénéiser les outils numériques déployés dans les établissements de santé. Cela permet d’élever le niveau global de sécurité tout en rendant les outils numériques accessibles à un plus grand nombre d’acteurs.
Nécessité des tests d'intrusions
Les logiciels métiers manipulent une grande quantité de données à caractère personnel, notamment des informations médicales hautement sensibles. Souvent déployée en masse sur la quasi-totalité des postes informatiques d’un établissement de santé, ils représentent un point d'entrée critique pour les cyberattaques. Leur compromission pourrait entraîner des conséquences graves : atteintes à la vie privée des patients, chantage numérique, ou encore perturbations des soins. C’est pourquoi ces solutions doivent être conçues, déployées et maintenues avec un niveau de sécurité élevé. Dans ce contexte, la réalisation de tests d’intrusion est essentielle pour identifier et corriger les vulnérabilités avant qu’elles ne soient exploitées par des attaquants.
Les auditeurs PASSI
Dans le cadre du programme, il est obligatoire que les tests d’intrusion soient effectués par un prestataire qualifié PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information). Cette qualification, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), atteste de la compétence et de l’expertise du prestataire dans la conduite de tests techniques approfondis.
Le programme ne demande pas un audit PASSI mais simplement un audit fait par un établissement qualifié PASSI ce que nous sommes à Algosecure. Cette distinction garantit que les équipes chargées des pentests disposent d’une expertise ciblée et pointue, permettant d’identifier les vulnérabilités. Cela permet d'avoir des audits homogènes entre toutes les solutions qui n'ont pas l'obligation de choisir un prestataire en particulier. Cela évite également de confier ces analyses sensibles à des intervenants non qualifiés, susceptibles de manquer des failles ou de fournir des recommandations insuffisantes.
Déroulement d'un test d'intrusion avec le programme Ségur
Le programme Ségur numérique de l'Agence du Numérique en Santé (ANS) impose un cadre précis pour réaliser les tests d'intrusion, garantissant une évaluation homogène de la sécurité des applications destinées au secteur de la santé. Pour cela, ils ont créé 2 documents de référence un guide technique qui sert à structurer chaque étape du processus et un formulaire Excel qui sert de rapport. Voici les principales phases du test d'intrusion, depuis le cadrage initial jusqu'’à la communication des résultats.
![[Segur-Numerique-Sante-deroulement-pentest.png]](/blog/img/Segur-Numerique-Sante-deroulement-pentest.png)
Phase de cadrage
La phase de cadrage pose les bases du test d'intrusion. L'éditeur de l'application doit fournir plusieurs prérequis et entrants, comme des comptes avec différents niveaux de privilèges, un environnement iso-prod pour être au plus proche de l'environnement dans lequel la solution sera déployé, etc. L'éditeur doit également extraire et fournir les logs techniques du premier jour d'audit. Ces logs jouent un rôle essentiel, car de nombreux points de contrôle concernent directement leur contenu et leur gestion.
L'objectif de cette phase est de définir clairement les limites et les attentes du test. Bien que le guide de l'ANS précise les exigences, il laisse une marge de manœuvre aux auditeurs pour adapter leur approche en fonction des spécificités de l'application.
![[Segur-Numerique-Sante-prerequis_test_intrusion.png]](/blog/img/Segur-Numerique-Sante-prerequis_test_intrusion.png)
Phase de test
Les tests d’intrusion eux-mêmes se concentrent sur deux grands ensembles de points de contrôle :
-
18 points de contrôle communs à toutes les applications, inspirés du Top 10 OWASP. Cette référence garantit une équité dans l’évaluation, sans imposer une méthodologie stricte aux auditeurs.
-
21 à 24 points de contrôle spécifiques selon le type d'architecture (à savoir web, client lourd, mobile, etc.).
Uniquement lorsque les architectures sont des architectures à moins de 3-tiers, alors certains points contrôles sont notés "NA" (non applicables). Ces points doivent quand même être vérifiés mais ne sont pas inclus dans l'évaluation finale pour le référencement Ségur.
Chaque point de contrôle est associé à deux niveaux de gravité :
-
Gravité haute : une seule vulnérabilité de ce niveau entraîne un refus de référencement.
-
Gravité moyenne : jusqu'à 10 vulnérabilités de ce niveau sont tolérées. Au-delà, l’application ne peut pas être référencée.
La durée moyenne de cette phase est de 4 à 5 jours homme, mais ceci est modulable et doit être ajusté en fonction de la complexité.
Le périmètre et la qualité des audits est un point de vigilance à avoir et ne doit pas être sous-estimé.
Chez Algosecure, nous mettons deux auditeurs au lieu d'un seul pour s'assurer de la qualité de nos services. Ce qui permet de découvrir parfois des vulnérabilités que d'autres prestataires ont laissé passé. Nous délivrons également des rapports complets pour que cela soit un vrai outil pour les équipes clients.
Ceci est un tableau de jours passés en moyenne que nous réalisons. Ceci comprend les tests techniques et le rapport (sans contre-audit).
| Compléxité | Exemple | Nombre de J/H moyen à Algosecure |
|---|---|---|
| Simple | - Site Web/API en boîte noire - Application mobile |
3-4 |
| Moyenne | - Application Web - Site Web/API en boîte grise |
6-7 |
| Complexe | - Client lourd - Audit de code - Architecture de plus de 5 serveurs |
8-12 |
Phase de rapport
Une fois les tests terminés, les auditeurs récupèrent le formulaire Excel fourni par l'ANS et le complètent. Ce formulaire est conçu pour refléter le lien direct entre chaque point de contrôle et les éléments du Top 10 OWASP, assurant une traçabilité et une clarté maximales. Un exemple de remplissage du formulaire est donné juste après et plus de précisions concernant ce dernier sera fait.
Le rapport final est généré sous forme de PDF et signé électroniquement. Pour signer le document, l'ANS donne 2 solutions possible. Soit d'utiliser une solution comme Adobe Acrobat avec un certificat délivré par un TSP (Trust Service Provider) qui peuvent être DigiCert ou GlobalSign. Soit plus simplement utiliser des plateformes reconnues comme DocuSign ou YouSign. Cette signature garantit l’intégrité et l’authenticité du document.
Phase de communication
Dans la dernière étape, l'éditeur transmet le rapport signé à l'ANS. Il convient de noter qu'aucune preuve supplémentaire (captures d'écran, logs ou autres) n’est exigée. Le formulaire signé constitue l’unique document requis pour l’évaluation du référencement Ségur. Ensuite l'ANS analyse de rapport et référence ou non la solution.
En suivant ce processus rigoureux, le programme Ségur assure une évaluation standardisée et fiable de la sécurité des solutions numériques, renforçant ainsi la confiance des professionnels de santé et des patients.
Compléter un formulaire
Cette partie concernera plus les auditeurs mais est aussi utile aux éditeurs pour réussir à le lire et mieux le comprendre.
Quand on récupère le formulaire il est composé de 6 feuilles différentes. Une pour le résultat global de la solution, une qui concerne la base commune avec les 18 points de contrôles, une pour la signature et 3 autres feuilles suivant le type de l'application. Le formulaire comporte des macros nécessaires à son bon fonctionnement, à ce jour elles ne sont pas signées donc pour éviter toute attaque potentielle nous vous recommandons de n'ouvrir ce formulaire que sur une VM dédiée isolée.
Feuille de résultats
Normalement l'éditeur a déjà prérempli une partie de la feuille mais ce n'est pas obligatoire de sa part. Cette feuille comporte le nom de l'application et sa version. Ceci est un élément très important car un éditeur ne pourra pas faire tester une solution X en version Y et demander un référencement de l'application X en version Z. Une description optionnelle et un type d'application. Pour le type d'application l'ANS fourni un logigramme qui permet de savoir quel type d'application choisir. Dans le cas d'une application hybride avec une partie mobile et une partie web par exemple il faudra alors crée 2 formulaires comme si c'était 2 tests d'intrusion différents.
![[Segur-Numerique-Sante-logigramme.png]](/blog/img/Segur-Numerique-Sante-logigramme.png)
Voici à quoi ressemble cette feuille, lorsque l'on choisit le type d'application cela influe sur les pages et donc sur les points à tester. Par la suite nous prendre l'exemple d'une application Web car c'est le type d'application le plus répandue.
![[Segur-Numerique-Sante-formulaire_1.png]](/blog/img/Segur-Numerique-Sante-formulaire_1.png)
Feuilles de points de contrôle
Les pages Commune, Web, Mobile et Client lourd fonctionnent de la même manière il y aura juste des points de contrôles différents à l'intérieur. Les seules parties à remplir sont la Notation et potentiellement Commentaires. Pour la partie Notation seules les réponses "Oui", "Non" et "N/A" sont possible. Si un point de contrôle possède un "Non" ou "N/A" alors il faudra obligatoirement une justification.
![[Segur-Numerique-Sante-formulaire_2.png]](/blog/img/Segur-Numerique-Sante-formulaire_2.png)
Feuille de signature
Une fois l'audit terminé et tous les points de contrôles renseignés alors vous verrez dans la feuille de résultats si l'application peut être référencée ou non. Elle le sera s'il n'y a pas de gravité haute ou moins de 10 gravité moyenne. En allant sur la feuille "Génération PDF et Signature", vous aurez la possibilité de générer le document au format PDF et vous trouverez des consignes pour signer ce dernier.
![[Segur-Numerique-Sante-formulaire_3.png]](/blog/img/Segur-Numerique-Sante-formulaire_3.png)
Ce qui nous donne après la génération ce fichier PDF qu'il reste à envoyer à l'éditeur qui se chargera de l'envoyer à l'ANS.
![[Segur-Numerique-Sante-pdf.png]](/blog/img/Segur-Numerique-Sante-pdf.png)
Conclusion
Les tests d’intrusion réalisés dans le cadre du programme Ségur de l’Agence du Numérique en Santé (ANS) illustrent l’importance cruciale de la cybersécurité dans l’écosystème de la santé numérique. Alors que les infrastructures et les services de santé adoptent des technologies toujours plus connectées, il devient impératif de garantir la confidentialité, l’intégrité et la disponibilité des données sensibles des patients d'autant plus qu'en France en 2024 les données de 8 citoyens sur 10 sont dans la nature.
Ces tests ne se limitent pas à identifier des failles techniques : ils participent à la construction d’un cadre de confiance entre les acteurs de la santé, les professionnels, et les usagers. En renforçant la résilience des systèmes face aux cybermenaces, le programme Ségur démontre que la sécurité n’est pas un obstacle à l’innovation, mais un socle indispensable pour un numérique en santé fiable et pérenne.
Sources
Programme SONS : https://www.bourgogne-franche-comte.ars.sante.fr/programme-sons
Programme Ségur : https://esante.gouv.fr/segur
Vague 1 : https://industriels.esante.gouv.fr/segur-numerique-sante/vague-1
Vague 2 : https://industriels.esante.gouv.fr/segur-numerique-sante/vague-2
Webinaire ANS : https://www.youtube.com/watch?v=VBqL5MQn8Kk
Guide pour les tests d'intrusion : https://industriels.esante.gouv.fr/sites/default/files/media/document/ANS_Guide-utilisation_Test-intrusion_DPI-PFI.pdf
Formulaire pour les tests d'intrusion : https://esante.gouv.fr/sites/default/files/media_entity/documents/ANS_Formulaire%20Test%20d'intrusion_V5.xlsm
Exigences : https://industriels.esante.gouv.fr/sites/default/files/media/document/Ségur_20240426_exigencesssi_v0.3.pdf
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Damien, Enzo, Eugénie, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lucas, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Tristan, Yann, et bonne visite !