{"id":33788,"date":"2021-04-16T18:07:31","date_gmt":"2021-04-16T16:07:31","guid":{"rendered":"https:\/\/www.calmedica.com\/?p=33788"},"modified":"2021-04-19T22:34:13","modified_gmt":"2021-04-19T20:34:13","slug":"comment-evaluer-la-securite-des-applications-saas-dans-la-sante","status":"publish","type":"post","link":"https:\/\/www.calmedica.com\/?p=33788","title":{"rendered":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ?"},"content":{"rendered":"<p>[et_pb_section fb_built=&#8221;1&#8243; admin_label=&#8221;section&#8221; _builder_version=&#8221;3.22&#8243;][et_pb_row admin_label=&#8221;row&#8221; _builder_version=&#8221;3.25&#8243; background_size=&#8221;initial&#8221; background_position=&#8221;top_left&#8221; background_repeat=&#8221;repeat&#8221;][et_pb_column type=&#8221;4_4&#8243; _builder_version=&#8221;3.25&#8243; custom_padding=&#8221;|||&#8221; custom_padding__hover=&#8221;|||&#8221;][et_pb_text admin_label=&#8221;Text&#8221; _builder_version=&#8221;4.7.5&#8243; background_size=&#8221;initial&#8221; background_position=&#8221;top_left&#8221; background_repeat=&#8221;repeat&#8221; hover_enabled=&#8221;0&#8243; sticky_enabled=&#8221;0&#8243;]<div class=\"stul-main-outer-wrap stul-content-locked stul-soft-mode\">\r\n    <div class=\"stul-blur-overlay\">\r\n        <div class=\"stul-form-wrap stul-template-2 stul-free-version\">\r\n            <form method=\"post\" action=\"\" class=\"stul-subscription-form\" data-form-alias=\"stul-free-version\">\r\n                \r\n<div class=\"top-lines\">\r\n    <span><\/span>\r\n    <span><\/span>\r\n    <span><\/span>\r\n<\/div>\r\n\r\n\r\n<div class=\"padding\">\r\n            <h2 class=\"stul-heading-text\">\r\n            <span class=\"icon\"><i class=\"fa fa-lock\" aria-hidden=\"true\"><\/i><\/span>\r\n            Acc\u00e9der \u00e0 mon guide             <span class=\"icon\"><i class=\"fa fa-lock\" aria-hidden=\"true\"><\/i><\/span>\r\n        <\/h2>\r\n                <div class=\"both-fields-wrap\">\r\n                    <div class=\"stul-field-wrap name-field\">\r\n                <label for=\"stul_name\" class=\"sr-only stul-hidden-item\">Entrez pr\u00e9nom et nom<\/label>\r\n                <input type=\"text\" name=\"stul_name\" class=\"stul-name\" placeholder=\"Entrez pr\u00e9nom et nom\"\/>\r\n            <\/div>\r\n                    <!--Email Field-->\r\n        <div class=\"stul-field-wrap\">\r\n            <label for=\"stul_email\" class=\"sr-only stul-hidden-item\">Entrez votre email<\/label>\r\n            <input type=\"email\" name=\"stul_email\" class=\"stul-email\" placeholder=\"Entrez votre email\"\/>\r\n        <\/div>\r\n        <!-- Email Field-->\r\n        <!-- Subscribe Button-->\r\n        <div class=\"stul-field-wrap\">\r\n            <input type=\"submit\" name=\"stul_form_submit\" class=\"stul-form-submit\" value=\"Acc\u00e9der \u00e0 mon guide\"\/>\r\n        <\/div>\r\n    <\/div>\r\n    <\/div>\r\n\r\n\r\n<div class=\"stul-form-message\"><\/div>\r\n<span class=\"stul-form-loader-wraper\">\r\n        <div class=\"stul-form-loader stul-form-loader-1\">Loading...<\/div>\r\n<\/span>\r\n            <\/form>\r\n                    <\/div>\r\n    <\/div>\r\n            <div class=\"stul-lock-content\" >\r\n                    <\/div>\r\n    <\/div>\r\n<\/p>\n<p style=\"text-align: justify;\">Dans cet article je vais vous donner des indications sur les moyens simples que vous pouvez mettre en \u0153uvre pour faire des contr\u00f4les de s\u00e9curit\u00e9. Je vais commencer par le plus simple pour aller vers le plus complet. Si un des tests \u00e9choue, alors inutile d\u2019aller plus loin. Il faut demander \u00e0 l\u2019\u00e9diteur un test d\u2019intrusion (pentest) par un prestataire de s\u00e9curit\u00e9. Je reviendrai sur les pentest \u00e0 la fin de l\u2019article.<\/p>\n<p style=\"text-align: justify;\">Les logiciels hospitaliers sont de plus en plus connect\u00e9s \u00e0 des applications SaaS dans lesquelles sont stock\u00e9es des donn\u00e9es de patients.<\/p>\n<p style=\"text-align: justify;\">Les \u00e9quipes en place sont organis\u00e9es pour contr\u00f4ler\/inspecter la s\u00e9curit\u00e9 des applications install\u00e9es dans le Datacenter de l\u2019h\u00f4pital ou r\u00e9sidant sur les postes. Par contre quasi inexistants sont les cas o\u00f9 la s\u00e9curit\u00e9 des applications SaaS est contr\u00f4l\u00e9e.<\/p>\n<p style=\"text-align: justify;\">Ceci est d\u2019autant plus dommage que certains de ces tests de s\u00e9curit\u00e9 sont extr\u00eamement simples \u00e0 r\u00e9aliser et ne prennent que quelques minutes. Vous pourrez ainsi mesurer la maturit\u00e9 de l\u2019\u00e9diteur sur les questions de s\u00e9curit\u00e9 ainsi que la robustesse du logiciel SaaS. Le succ\u00e8s \u00e0 ces tests n\u2019implique pas une s\u00e9curit\u00e9 aux normes mais l\u2019\u00e9chec \u00e0 ces tests simples indique un non-respect des r\u00e8gles \u00e9l\u00e9mentaires de s\u00e9curit\u00e9.<\/p>\n<p style=\"text-align: justify;\">Je cite les logiciels que j\u2019ai utilis\u00e9, qui m\u2019ont \u00e9t\u00e9 conseill\u00e9. Je n\u2019ai aucun lien d\u2019int\u00e9r\u00eat avec ces entit\u00e9s, ni aucune r\u00e9mun\u00e9ration. Ce sont simplement des exemples. \u00c9videmment il y a de nombreuses autres solutions.<\/p>\n<ol style=\"text-align: justify;\">\n<li><strong>L\u2019infrastructure<\/strong><\/li>\n<\/ol>\n<p style=\"text-align: justify;\">Si le logiciel SaaS manipule des donn\u00e9es de sant\u00e9, il doit \u00eatre h\u00e9berg\u00e9 sur un syst\u00e8me certifi\u00e9 HDS\u00a0: H\u00e9bergeur de Donn\u00e9es de Sant\u00e9. Pour le savoir il suffit de demander le certificat d\u2019h\u00e9bergement.<\/p>\n<p style=\"text-align: justify;\">Les serveurs doivent \u00eatre prot\u00e9g\u00e9s par un firewall, c\u2019est \u00e0 dire un logiciel qui bloque les entr\u00e9es et les sorties en fonction de r\u00e8gles qui peuvent \u00eatre sur une url, sur une adresse IP ou sur un port. Demander la matrice des flux est un bon moyen de v\u00e9rifier si l\u2019\u00e9diteur g\u00e8re activement ce point. Pour contr\u00f4ler ce firewall vous pouvez utiliser un logiciel comme celui-ci : <a href=\"https:\/\/www.ipfingerprints.com\/portscan.php\">https:\/\/www.ipfingerprints.com\/portscan.php<\/a><\/p>\n<p style=\"text-align: justify;\">Si d\u2019autres ports que les 80 et 443 sont ouverts sur internet cela demande une explication, une justification claire du besoin, ainsi qu&#8217;une liste des mesures de s\u00e9curit\u00e9 mises en place afin de limiter la surface d&#8217;attaque sur ces services, appel\u00e9es &#8220;contre-mesures&#8221;.<\/p>\n<ol start=\"2\" style=\"text-align: justify;\">\n<li><strong>La s\u00e9curit\u00e9 de l\u2019application<\/strong><\/li>\n<\/ol>\n<p style=\"text-align: justify;\">La s\u00e9curit\u00e9 repose sur le trin\u00f4me Confidentialit\u00e9, Int\u00e9grit\u00e9 et Disponibilit\u00e9 des donn\u00e9es et des services. Les failles Web les plus communes sont list\u00e9es dans ce que l\u2019on appelle le TOP 10 OWASP (<a href=\"https:\/\/owasp.org\/www-project-top-ten\/\">https:\/\/owasp.org\/www-project-top-ten\/<\/a>,\u00a0<a href=\"https:\/\/avengering.com\/examiner-les-10-principaux-risques-de-securite-lies-a-owasp\/\">https:\/\/avengering.com\/examiner-les-10-principaux-risques-de-securite-lies-a-owasp\/<\/a>). Le test exhaustif de toutes ces failles n\u2019est pas l\u2019objet de cet article mais il est possible de faire des sondages simples pour r\u00e9v\u00e9ler des failles \u00e9videntes.<\/p>\n<p style=\"text-align: justify;\"><strong>A. Confidentialit\u00e9<\/strong><\/p>\n<p style=\"text-align: justify;\">Configuration du serveur web :<\/p>\n<p style=\"text-align: justify;\">Tous les \u00e9changes d\u2019information doivent \u00eatre effectu\u00e9s en HTTPS avec des algorithmes r\u00e9put\u00e9s s\u00fbrs. Pour le v\u00e9rifier, rien de plus simple : SSLlabs (<a href=\"https:\/\/www.ssllabs.com\/ssltest\/\">https:\/\/www.ssllabs.com\/ssltest\/<\/a>) vous permet de contr\u00f4ler la qualit\u00e9 du HTTPS. Le r\u00e9sultat doit \u00eatre au moins A.<\/p>\n<p style=\"text-align: justify;\">Au-del\u00e0 de la configuration HTTPS, il existe des en-t\u00eates de s\u00e9curit\u00e9 qui doivent \u00eatre plac\u00e9s. Pour le v\u00e9rifier, il suffit d\u2019utiliser cet outil : <a href=\"https:\/\/securityheaders.com\">https:\/\/securityheaders.com<\/a>. Le r\u00e9sultat doit \u00eatre au moins A.<\/p>\n<p style=\"text-align: justify;\">Une faille tr\u00e8s fr\u00e9quente provient de mot de passe faible. Pour le v\u00e9rifier, demandez \u00e0 cr\u00e9er un compte sur l\u2019application et v\u00e9rifiez que le syst\u00e8me n\u2019autorise pas de mot de passe de moins de 8 caract\u00e8res, sans chiffre, majuscule et caract\u00e8re sp\u00e9cial.<\/p>\n<p style=\"text-align: justify;\"><strong>B.Int\u00e9grit\u00e9<\/strong><\/p>\n<p style=\"text-align: justify;\">Certains outils permettent de tester les failles d\u2019injection et XSS qui sont des failles concernant entre autres l\u2019int\u00e9grit\u00e9 des donn\u00e9es. Pentest-tools (<a href=\"https:\/\/pentest-tools.com\/website-vulnerability-scanning\/sql-injection-scanner-online\">https:\/\/pentest-tools.com\/website-vulnerability-scanning\/sql-injection-scanner-online#<\/a>) permet de faire un contr\u00f4le simple.\u00a0 Ce n\u2019est pas exhaustif mais cela donne une indication de maturit\u00e9. Il ne doit y avoir aucun risque \u00ab\u00a0high\u00a0\u00bb ou \u00ab\u00a0medium\u00a0\u00bb.<\/p>\n<p style=\"text-align: justify;\"><strong>C.Disponibilit\u00e9<\/strong><\/p>\n<p style=\"text-align: justify;\">La disponibilit\u00e9 fait partie int\u00e9grante des crit\u00e8res de s\u00e9curit\u00e9. Celle-ci est simple \u00e0 mesurer avec un logiciel tel que Uptime robot (<a href=\"https:\/\/uptimerobot.com\">https:\/\/uptimerobot.com<\/a>). Avant de d\u00e9buter, il faut demander \u00e0 votre fournisseur un relev\u00e9 de disponibilit\u00e9 mensuel sur les 6 derniers mois. La non-disponibilit\u00e9 de ce rapport n\u2019est pas acceptable.<\/p>\n<p style=\"text-align: justify;\">Cet outil indique la disponibilit\u00e9 de l\u2019URL indiqu\u00e9e, pas l\u2019\u00e9tat fonctionnel de l\u2019application. Cependant c\u2019est une mesure a-minima int\u00e9ressante. Le r\u00e9sultat est en %, g\u00e9n\u00e9ralement une mesure mensuelle en de\u00e7\u00e0 de 99,90% n\u2019est pas acceptable.<\/p>\n<p style=\"text-align: justify;\">Il est aussi int\u00e9ressant de mesurer la disponibilit\u00e9 en fonction de la charge de l\u2019application. Pour cela l\u2019outil K6 (<a href=\"https:\/\/k6.io\">https:\/\/k6.io<\/a>) permet de mesurer le temps de r\u00e9ponse en fonction du nombre de connexions simultan\u00e9es. L\u2019id\u00e9al est de mesurer le temps de r\u00e9ponse sur une page cl\u00e9 de l\u2019application. \u00c0 d\u00e9faut, la page d\u2019accueil de l\u2019application permet de donner une indication de la charge acceptable<\/p>\n<p style=\"text-align: justify;\">Un bon r\u00e9sultat \u00e0 tous les tests ci-dessus ne garantit pas une application s\u00e9curis\u00e9e. Mais le contraire indique un manque de ma\u00eetrise de la s\u00e9curit\u00e9. Le cas \u00e9ch\u00e9ant, demandez un pentest. J\u2019ai travaill\u00e9 avec 2 soci\u00e9t\u00e9s (Orange cyber d\u00e9fense et CNPP Cybersecurity) toutes deux tr\u00e8s comp\u00e9tentes et agr\u00e9ables.<\/p>\n<p style=\"text-align: justify;\"><strong>Alexis Hernot<\/strong>, Cofondateur de Calmedica<\/p>\n<p>[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"<p><div class=\"stul-main-outer-wrap stul-content-locked stul-soft-mode\">\r\n    <div class=\"stul-blur-overlay\">\r\n        <div class=\"stul-form-wrap stul-template-2 stul-free-version\">\r\n            <form method=\"post\" action=\"\" class=\"stul-subscription-form\" data-form-alias=\"stul-free-version\">\r\n                \r\n<div class=\"top-lines\">\r\n    <span><\/span>\r\n    <span><\/span>\r\n    <span><\/span>\r\n<\/div>\r\n\r\n\r\n<div class=\"padding\">\r\n            <h2 class=\"stul-heading-text\">\r\n            <span class=\"icon\"><i class=\"fa fa-lock\" aria-hidden=\"true\"><\/i><\/span>\r\n            Acc\u00e9der \u00e0 mon guide             <span class=\"icon\"><i class=\"fa fa-lock\" aria-hidden=\"true\"><\/i><\/span>\r\n        <\/h2>\r\n                <div class=\"both-fields-wrap\">\r\n                    <div class=\"stul-field-wrap name-field\">\r\n                <label for=\"stul_name\" class=\"sr-only stul-hidden-item\">Entrez pr\u00e9nom et nom<\/label>\r\n                <input type=\"text\" name=\"stul_name\" class=\"stul-name\" placeholder=\"Entrez pr\u00e9nom et nom\"\/>\r\n            <\/div>\r\n                    <!--Email Field-->\r\n        <div class=\"stul-field-wrap\">\r\n            <label for=\"stul_email\" class=\"sr-only stul-hidden-item\">Entrez votre email<\/label>\r\n            <input type=\"email\" name=\"stul_email\" class=\"stul-email\" placeholder=\"Entrez votre email\"\/>\r\n        <\/div>\r\n        <!-- Email Field-->\r\n        <!-- Subscribe Button-->\r\n        <div class=\"stul-field-wrap\">\r\n            <input type=\"submit\" name=\"stul_form_submit\" class=\"stul-form-submit\" value=\"Acc\u00e9der \u00e0 mon guide\"\/>\r\n        <\/div>\r\n    <\/div>\r\n    <\/div>\r\n\r\n\r\n<div class=\"stul-form-message\"><\/div>\r\n<span class=\"stul-form-loader-wraper\">\r\n        <div class=\"stul-form-loader stul-form-loader-1\">Loading...<\/div>\r\n<\/span>\r\n            <\/form>\r\n                    <\/div>\r\n    <\/div>\r\n            <div class=\"stul-lock-content\" >\r\n                    <\/div>\r\n    <\/div>\r\nDans cet article je vais vous donner des indications sur les moyens simples que vous pouvez mettre en \u0153uvre pour faire des contr\u00f4les de s\u00e9curit\u00e9. Je vais commencer par le plus simple pour aller vers le plus complet. Si un des tests \u00e9choue, alors inutile d\u2019aller plus loin. Il faut demander \u00e0 l\u2019\u00e9diteur un test [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":33789,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"Dans cet article je vais vous donner des indications sur les moyens simples que vous pouvez mettre en \u0153uvre pour faire des contr\u00f4les de s\u00e9curit\u00e9. Je vais commencer par le plus simple pour aller vers le plus complet. Si un des tests \u00e9choue, alors inutile d\u2019aller plus loin. Il faut demander \u00e0 l\u2019\u00e9diteur un test d\u2019intrusion (pentest) par un prestataire de s\u00e9curit\u00e9. Je reviendrai sur les pentest \u00e0 la fin de l\u2019article.\r\n\r\nLes logiciels hospitaliers sont de plus en plus connect\u00e9s \u00e0 des applications SaaS dans lesquelles sont stock\u00e9es des donn\u00e9es de patients.\r\n\r\nLes \u00e9quipes en place sont organis\u00e9es pour contr\u00f4ler \/ inspecter la s\u00e9curit\u00e9 des applications install\u00e9es dans le Datacenter de l\u2019h\u00f4pital ou r\u00e9sidant sur les postes. Par contre quasi inexistants sont les cas o\u00f9 la s\u00e9curit\u00e9 des applications SaaS est contr\u00f4l\u00e9e.\r\n\r\nCeci est d\u2019autant plus dommage que certains de ces tests de s\u00e9curit\u00e9 sont extr\u00eamement simples \u00e0 r\u00e9aliser et ne prennent que quelques minutes. Vous pourrez ainsi mesurer la maturit\u00e9 de l\u2019\u00e9diteur sur les questions de s\u00e9curit\u00e9 ainsi que la robustesse du logiciel SaaS. Le succ\u00e8s \u00e0 ces tests n\u2019implique pas une s\u00e9curit\u00e9 aux normes mais l\u2019\u00e9chec \u00e0 ces tests simples indique un non-respect des r\u00e8gles \u00e9l\u00e9mentaires de s\u00e9curit\u00e9.\r\n\r\nJe cite les logiciels que j\u2019ai utilis\u00e9, qui m\u2019ont \u00e9t\u00e9 conseill\u00e9. Je n\u2019ai aucun lien d\u2019int\u00e9r\u00eat avec ces entit\u00e9s, ni aucune r\u00e9mun\u00e9ration. Ce sont simplement des exemples. \u00c9videmment il y a de nombreuses autres solutions.\r\n<ol>\r\n \t<li><strong>L\u2019infrastructure<\/strong><\/li>\r\n<\/ol>\r\nSi le logiciel SaaS manipule des donn\u00e9es de sant\u00e9, il doit \u00eatre h\u00e9berg\u00e9 sur un syst\u00e8me certifi\u00e9 HDS\u00a0: H\u00e9bergeur de Donn\u00e9es de Sant\u00e9. Pour le savoir il suffit de demander le certificat d\u2019h\u00e9bergement.\r\n\r\nLes serveurs doivent \u00eatre prot\u00e9g\u00e9s par un firewall, c\u2019est \u00e0 dire un logiciel qui bloque les entr\u00e9es et les sorties en fonction de r\u00e8gles qui peuvent \u00eatre sur une url, sur une adresse IP ou sur un port. Demander la matrice des flux est un bon moyen de v\u00e9rifier si l\u2019\u00e9diteur g\u00e8re activement ce point. Pour contr\u00f4ler ce firewall vous pouvez utiliser un logiciel comme celui-ci : <a href=\"https:\/\/www.ipfingerprints.com\/portscan.php\">https:\/\/www.ipfingerprints.com\/portscan.php<\/a>\r\n\r\nSi d\u2019autres ports que les 80 et 443 sont ouverts sur internet cela demande une explication, une justification claire du besoin, ainsi qu'une liste des mesures de s\u00e9curit\u00e9 mises en place afin de limiter la surface d'attaque sur ces services, appel\u00e9es \"contre-mesures\".**\r\n<ol start=\"2\">\r\n \t<li><strong>La s\u00e9curit\u00e9 de l\u2019application<\/strong><\/li>\r\n<\/ol>\r\nLa s\u00e9curit\u00e9 repose sur le trin\u00f4me Confidentialit\u00e9, Int\u00e9grit\u00e9 et Disponibilit\u00e9 des donn\u00e9es et des services. Les failles Web les plus communes sont list\u00e9es dans ce que l\u2019on appelle le TOP 10 OWASP (<a href=\"https:\/\/owasp.org\/www-project-top-ten\/\">https:\/\/owasp.org\/www-project-top-ten\/<\/a>, https:\/\/avengering.com\/examiner-les-10-principaux-risques-de-securite-lies-a-owasp\/). Le test exhaustif de toutes ces failles n\u2019est pas l\u2019objet de cet article mais il est possible de faire des sondages simples pour r\u00e9v\u00e9ler des failles \u00e9videntes.\r\n\r\n<strong>A. Confidentialit\u00e9<\/strong>\r\n\r\nConfiguration du serveur web :\r\n\r\nTous les \u00e9changes d\u2019information doivent \u00eatre effectu\u00e9s en HTTPS avec des algorithmes r\u00e9put\u00e9s s\u00fbrs. Pour le v\u00e9rifier, rien de plus simple : SSLlabs (<a href=\"https:\/\/www.ssllabs.com\/ssltest\/\">https:\/\/www.ssllabs.com\/ssltest\/<\/a>) vous permet de contr\u00f4ler la qualit\u00e9 du HTTPS. Le r\u00e9sultat doit \u00eatre au moins A.\r\n\r\nAu-del\u00e0 de la configuration HTTPS, il existe des en-t\u00eates de s\u00e9curit\u00e9 qui doivent \u00eatre plac\u00e9s. Pour le v\u00e9rifier, il suffit d\u2019utiliser cet outil : <a href=\"https:\/\/securityheaders.com\">https:\/\/securityheaders.com<\/a>. Le r\u00e9sultat doit \u00eatre au moins A.\r\n\r\nUne faille tr\u00e8s fr\u00e9quente provient de mot de passe faible. Pour le v\u00e9rifier, demander \u00e0 cr\u00e9er un compte sur l\u2019application et v\u00e9rifiez que le syst\u00e8me n\u2019autorise pas de mot de passe de moins de 8 caract\u00e8res, sans chiffre, majuscule et caract\u00e8re sp\u00e9cial.\r\n\r\n<strong>B.Int\u00e9grit\u00e9<\/strong>\r\n\r\nCertains outils permettent de tester les failles d\u2019injection et XSS qui sont des failles concernant entre autres l\u2019int\u00e9grit\u00e9 des donn\u00e9es. Pentest-tools (<a href=\"https:\/\/pentest-tools.com\/website-vulnerability-scanning\/sql-injection-scanner-online\">https:\/\/pentest-tools.com\/website-vulnerability-scanning\/sql-injection-scanner-online#<\/a>) permet de faire un contr\u00f4le simple.\u00a0 Ce n\u2019est pas exhaustif mais cela donne une indication de maturit\u00e9. Il ne doit y avoir aucun risque \u00ab\u00a0high\u00a0\u00bb ou \u00ab\u00a0medium\u00a0\u00bb.\r\n\r\n<strong>C.Disponibilit\u00e9<\/strong>\r\n\r\nLa disponibilit\u00e9 fait partie int\u00e9grante des crit\u00e8res de s\u00e9curit\u00e9. Celle-ci est simple \u00e0 mesurer avec un logiciel tel que Uptime robot (<a href=\"https:\/\/uptimerobot.com\">https:\/\/uptimerobot.com<\/a>). Avant de d\u00e9buter, il faut demander \u00e0 votre fournisseur un relev\u00e9 de disponibilit\u00e9 mensuel sur les 6 derniers mois. La non-disponibilit\u00e9 de ce rapport n\u2019est pas acceptable.\r\n\r\nCet outil indique la disponibilit\u00e9 de l\u2019URL indiqu\u00e9e, pas l\u2019\u00e9tat fonctionnel de l\u2019application. Cependant c\u2019est une mesure a-minima int\u00e9ressante. Le r\u00e9sultat est en %, g\u00e9n\u00e9ralement une mesure mensuelle en de\u00e7\u00e0 de 99,90% n\u2019est pas acceptable.\r\n\r\nIl est aussi int\u00e9ressant de mesurer la disponibilit\u00e9 en fonction de la charge de l\u2019application. Pour cela l\u2019outil K6 (<a href=\"https:\/\/k6.io\">https:\/\/k6.io<\/a>) permet de mesurer le temps de r\u00e9ponse en fonction du nombre de connexions simultan\u00e9es. L\u2019id\u00e9al est de mesurer le temps de r\u00e9ponse sur une page cl\u00e9 de l\u2019application. A d\u00e9faut, la page d\u2019accueil de l\u2019application permet de donner une indication de la charge acceptable\r\n\r\nUn bon r\u00e9sultat \u00e0 tous les tests ci-dessus ne garantit pas une application s\u00e9curis\u00e9e. Mais le contraire indique un manque de ma\u00eetrise de la s\u00e9curit\u00e9. Le cas \u00e9ch\u00e9ant, demandez un pentest. J\u2019ai travaill\u00e9 avec 2 soci\u00e9t\u00e9s (Orange cyber d\u00e9fense et CNPP Cybersecurity) toutes deux tr\u00e8s comp\u00e9tentes et agr\u00e9ables.\r\n\r\n<strong>Alexis Hernot<\/strong>, Cofondateur de Calmedica","_et_gb_content_width":"","footnotes":""},"categories":[32],"tags":[],"class_list":["post-33788","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.5 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.calmedica.com\/?p=33788\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.calmedica.com\/?p=33788\" \/>\n<meta property=\"og:site_name\" content=\"Calmedica\" \/>\n<meta property=\"article:published_time\" content=\"2021-04-16T16:07:31+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-04-19T20:34:13+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1707\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"alexis\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"alexis\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"5 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788\"},\"author\":{\"name\":\"alexis\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/#\\\/schema\\\/person\\\/cae7aa6753a82c82ab422e2c51a247bb\"},\"headline\":\"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ?\",\"datePublished\":\"2021-04-16T16:07:31+00:00\",\"dateModified\":\"2021-04-19T20:34:13+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788\"},\"wordCount\":1056,\"image\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.calmedica.com\\\/wp-content\\\/uploads\\\/2021\\\/04\\\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg\",\"articleSection\":[\"blog\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788\",\"url\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788\",\"name\":\"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.calmedica.com\\\/wp-content\\\/uploads\\\/2021\\\/04\\\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg\",\"datePublished\":\"2021-04-16T16:07:31+00:00\",\"dateModified\":\"2021-04-19T20:34:13+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/#\\\/schema\\\/person\\\/cae7aa6753a82c82ab422e2c51a247bb\"},\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.calmedica.com\\\/?p=33788\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#primaryimage\",\"url\":\"https:\\\/\\\/www.calmedica.com\\\/wp-content\\\/uploads\\\/2021\\\/04\\\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg\",\"contentUrl\":\"https:\\\/\\\/www.calmedica.com\\\/wp-content\\\/uploads\\\/2021\\\/04\\\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg\",\"width\":2560,\"height\":1707,\"caption\":\"s\u00e9curit\u00e9 saas en sant\u00e9\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/?p=33788#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\\\/\\\/www.calmedica.com\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ?\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/#website\",\"url\":\"https:\\\/\\\/www.calmedica.com\\\/\",\"name\":\"Calmedica\",\"description\":\"Mettre la e-sant\u00e9 \u00e0 la port\u00e9e de tous\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.calmedica.com\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.calmedica.com\\\/#\\\/schema\\\/person\\\/cae7aa6753a82c82ab422e2c51a247bb\",\"name\":\"alexis\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g\",\"caption\":\"alexis\"},\"sameAs\":[\"https:\\\/\\\/www.calmedica.com\"],\"url\":\"https:\\\/\\\/www.calmedica.com\\\/?author=1\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.calmedica.com\/?p=33788","og_locale":"fr_FR","og_type":"article","og_title":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica","og_url":"https:\/\/www.calmedica.com\/?p=33788","og_site_name":"Calmedica","article_published_time":"2021-04-16T16:07:31+00:00","article_modified_time":"2021-04-19T20:34:13+00:00","og_image":[{"width":2560,"height":1707,"url":"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg","type":"image\/jpeg"}],"author":"alexis","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"alexis","Dur\u00e9e de lecture estim\u00e9e":"5 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.calmedica.com\/?p=33788#article","isPartOf":{"@id":"https:\/\/www.calmedica.com\/?p=33788"},"author":{"name":"alexis","@id":"https:\/\/www.calmedica.com\/#\/schema\/person\/cae7aa6753a82c82ab422e2c51a247bb"},"headline":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ?","datePublished":"2021-04-16T16:07:31+00:00","dateModified":"2021-04-19T20:34:13+00:00","mainEntityOfPage":{"@id":"https:\/\/www.calmedica.com\/?p=33788"},"wordCount":1056,"image":{"@id":"https:\/\/www.calmedica.com\/?p=33788#primaryimage"},"thumbnailUrl":"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg","articleSection":["blog"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/www.calmedica.com\/?p=33788","url":"https:\/\/www.calmedica.com\/?p=33788","name":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ? - Calmedica","isPartOf":{"@id":"https:\/\/www.calmedica.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.calmedica.com\/?p=33788#primaryimage"},"image":{"@id":"https:\/\/www.calmedica.com\/?p=33788#primaryimage"},"thumbnailUrl":"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg","datePublished":"2021-04-16T16:07:31+00:00","dateModified":"2021-04-19T20:34:13+00:00","author":{"@id":"https:\/\/www.calmedica.com\/#\/schema\/person\/cae7aa6753a82c82ab422e2c51a247bb"},"breadcrumb":{"@id":"https:\/\/www.calmedica.com\/?p=33788#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.calmedica.com\/?p=33788"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.calmedica.com\/?p=33788#primaryimage","url":"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg","contentUrl":"https:\/\/www.calmedica.com\/wp-content\/uploads\/2021\/04\/shahadat-rahman-BfrQnKBulYQ-unsplash-scaled.jpg","width":2560,"height":1707,"caption":"s\u00e9curit\u00e9 saas en sant\u00e9"},{"@type":"BreadcrumbList","@id":"https:\/\/www.calmedica.com\/?p=33788#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.calmedica.com\/"},{"@type":"ListItem","position":2,"name":"Comment \u00e9valuer la s\u00e9curit\u00e9 des applications SaaS dans la sant\u00e9 ?"}]},{"@type":"WebSite","@id":"https:\/\/www.calmedica.com\/#website","url":"https:\/\/www.calmedica.com\/","name":"Calmedica","description":"Mettre la e-sant\u00e9 \u00e0 la port\u00e9e de tous","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.calmedica.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/www.calmedica.com\/#\/schema\/person\/cae7aa6753a82c82ab422e2c51a247bb","name":"alexis","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/secure.gravatar.com\/avatar\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/a546a8f56f87575c9d0c04ce4c631b138eaa6b27fad8095b42059a6763cf4792?s=96&d=mm&r=g","caption":"alexis"},"sameAs":["https:\/\/www.calmedica.com"],"url":"https:\/\/www.calmedica.com\/?author=1"}]}},"_links":{"self":[{"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/posts\/33788","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=33788"}],"version-history":[{"count":10,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/posts\/33788\/revisions"}],"predecessor-version":[{"id":33841,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/posts\/33788\/revisions\/33841"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=\/wp\/v2\/media\/33789"}],"wp:attachment":[{"href":"https:\/\/www.calmedica.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=33788"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=33788"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.calmedica.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=33788"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}