Publicité en cours de chargement...

Publicité en cours de chargement...

Sécurité des applicatifs de Maincare : une démarche continue d’amélioration

14 nov. 2022 - 11:42,
Actualité - DSIH
L’actualité le rappelle régulièrement, les établissements de santé sont devenus des cibles privilégiées pour les cyberattaques.Chez Maincare, l’exigence de sécurité est un maître mot à toutes les étapes du cycle de vie d’un logiciel.

La sécurité des logiciels conçus et développés par les équipes de Maincare pour les établissements de santé constitue une priorité pour l’éditeur. De la conception d’une solution aux montées de version d’une application en cours d’exploitation en passant par le développement, l’ajout de nouvelles fonctionnalités ou encore le support et la maintenance du logiciel, « tous nos applicatifs font l’objet de tests pour éprouver leur niveau de sécurité. Celui-ci doit répondre aux standards les plus élevés », rapporte Jérôme Demange, directeur Sécurité Produits chez Maincare. Des développeurs aux équipes de direction, en passant par les stagiaires, tous les collaborateurs sont concernés par cet enjeu. Cela passe par des actions de formation interne et de sensibilisation pour expliquer comment chacun, au quotidien, doit prendre en compte la sécurité : qu’il s’agisse des règles strictes de sécurité en télémaintenance pour les équipes services de Maincare, et des pratiques de développement sécurisé pour ses équipes R&D, par exemple.

Une veille permanente

Jérôme Demange et son équipe réalisent une veille réglementaire sur les exigences de sécurité applicables, ainsi que sur les recommandations et bonnes pratiques (OWASP en particulier) qui évoluent en permanence. Ce travail est publié sur l’intranet de la société à destination de tous les collaborateurs.
Ils participent également aux concertations lancées par l’Agence du Numérique en Santé (ANS) en préparation des nouveaux référentiels de sécurité. L’éditeur n’hésite pas à partager son expérience en sécurité et sa connaissance du terrain dans le but d’améliorer la sécurité des logiciels de santé de manière pragmatique.
En complément, Maincare assure une veille sur les attaques courantes dans le monde hospitalier et les vulnérabilités les plus répandues (CVE) dans le monde des logiciels, en particulier, les logiciels tiers avec lesquels travaille l’éditeur.

L’intégration des besoins des clients

De plus en plus, les clients de Maincare font part de nouvelles exigences qui dépassent la réglementation. Elles découlent, par exemple, d’une analyse de risques pour l’homologation de sécurité nécessaire à l’ouverture d’un service en ligne (portail patient, portail ville-hôpital…). Maincare assiste chaque établissement dans l’analyse des résultats de son audit, en apportant si besoin les réponses techniques appropriées. « Nous prenons aussi en compte ces exigences dès que nous concevons un nouveau produit ou que nous intégrons une nouvelle fonctionnalité dans un logiciel existant », ajoute Jérôme Demange.

Des logiciels sous étroite surveillance

Dès qu’une ligne de code est rédigée, sa conformité aux bonnes pratiques est évaluée par des développeurs experts de Maincare. L’évaluation passe aussi par des scanners de vulnérabilités, afin d’agir au plus tôt, avant qu’un logiciel ne soit livré chez un client. Les versions majeures des solutions subissent également en interne un test d’intrusion dit pentest, avec correction immédiate de toute anomalie majeure le cas échéant.

Une gestion des alertes bien rodée

Dans le cas où un établissement déclare une vulnérabilité sur l’extranet de Maincare, un processus spécifique est engagé avec les équipes R&D et la Direction de la Sécurité Produits pour s’assurer de la réalité de la vulnérabilité, en évaluer le niveau de gravité, et proposer des actions immédiates. Ce processus peut conduire, au besoin, Maincare à émettre un flash support de sécurité, à destination de tous ses clients concernés, détaillant la vulnérabilité dans son contexte et la procédure à appliquer : mise à jour corrective, changement de configuration...
Lorsque l’analyse de Maincare montre que le problème de sécurité déclaré n’est finalement pas lié à un produit Maincare, mais dépend d’un autre logiciel ou équipement de sécurité sous la responsabilité du client ou d’un de ses prestataires (éditeur tiers, hébergeur), Maincare continue d’accompagner son client avec des préconisations issues de son expérience.
La gestion des alertes de sécurité est elle-même traitée avec le plus haut niveau de confidentialité, avec des échanges sécurisés entre la cellule de crise de l’éditeur et les RSSI et personnels habilités des clients concernés.
Maincare entretient un lien régulier avec le CERT Santé(1), les alertes de sécurité et Flash Support, associés impactant les clients qui sont répartis. De son côté, celui-ci alerte Maincare lorsque lui sont signalées des vulnérabilités pouvant concerner les produits de Maincare. « Nos équipes contactent alors immédiatement les clients pour analyser la situation et les accompagnent pour corriger la situation », indique le Directeur Sécurité Produits chez Maincare.

Un enjeu permanent

Avec la mise en oeuvre de toutes ces procédures, Maincare accélère sa démarche de sécurité guidée par l’idée que le risque zéro en matière de sécurité n’existe pas : « Seule l’amélioration continue permet de rendre les applicatifs les plus sûrs possibles », souligne Jérôme Demange.


(1) Le CERT Santé est un service national qui contribue à la cybersurveillance. Il assure le traitement des signalements des incidents de sécurité et mène des actions d’accompagnement et de prévention auprès des établissements de santé.

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Inauguration du cross care data lab ©

Inauguration du cross care data lab ©

04 août 2025 - 14:15,

Tribune

- Jacques HUBERT & Selim HAOUCHINE, GHT Moselle-Est

Porté par les Hôpitaux de Sarreguemines et le GHT de Moselle-Est, le projet Cross Care Data Lab est une pépinière d’entreprises nouvelle génération, véritable écosystème, entièrement dédiée à l’innovation numérique, à la cybersécurité et à l’intelligence artificielle appliqué à la santé.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.