Sécurité des applicatifs de Maincare : une démarche continue d’amélioration

La sécurité des logiciels conçus et développés par les équipes de Maincare pour les établissements de santé constitue une priorité pour l’éditeur. De la conception d’une solution aux montées de version d’une application en cours d’exploitation en passant par le développement, l’ajout de nouvelles fonctionnalités ou encore le support et la maintenance du logiciel, « tous nos applicatifs font l’objet de tests pour éprouver leur niveau de sécurité. Celui-ci doit répondre aux standards les plus élevés », rapporte Jérôme Demange, directeur Sécurité Produits chez Maincare. Des développeurs aux équipes de direction, en passant par les stagiaires, tous les collaborateurs sont concernés par cet enjeu. Cela passe par des actions de formation interne et de sensibilisation pour expliquer comment chacun, au quotidien, doit prendre en compte la sécurité : qu’il s’agisse des règles strictes de sécurité en télémaintenance pour les équipes services de Maincare, et des pratiques de développement sécurisé pour ses équipes R&D, par exemple.

Une veille permanente

Jérôme Demange et son équipe réalisent une veille réglementaire sur les exigences de sécurité applicables, ainsi que sur les recommandations et bonnes pratiques (OWASP en particulier) qui évoluent en permanence. Ce travail est publié sur l’intranet de la société à destination de tous les collaborateurs.
Ils participent également aux concertations lancées par l’Agence du Numérique en Santé (ANS) en préparation des nouveaux référentiels de sécurité. L’éditeur n’hésite pas à partager son expérience en sécurité et sa connaissance du terrain dans le but d’améliorer la sécurité des logiciels de santé de manière pragmatique.
En complément, Maincare assure une veille sur les attaques courantes dans le monde hospitalier et les vulnérabilités les plus répandues (CVE) dans le monde des logiciels, en particulier, les logiciels tiers avec lesquels travaille l’éditeur.

L’intégration des besoins des clients

De plus en plus, les clients de Maincare font part de nouvelles exigences qui dépassent la réglementation. Elles découlent, par exemple, d’une analyse de risques pour l’homologation de sécurité nécessaire à l’ouverture d’un service en ligne (portail patient, portail ville-hôpital…). Maincare assiste chaque établissement dans l’analyse des résultats de son audit, en apportant si besoin les réponses techniques appropriées. « Nous prenons aussi en compte ces exigences dès que nous concevons un nouveau produit ou que nous intégrons une nouvelle fonctionnalité dans un logiciel existant », ajoute Jérôme Demange.

Des logiciels sous étroite surveillance

Dès qu’une ligne de code est rédigée, sa conformité aux bonnes pratiques est évaluée par des développeurs experts de Maincare. L’évaluation passe aussi par des scanners de vulnérabilités, afin d’agir au plus tôt, avant qu’un logiciel ne soit livré chez un client. Les versions majeures des solutions subissent également en interne un test d’intrusion dit pentest, avec correction immédiate de toute anomalie majeure le cas échéant.

Une gestion des alertes bien rodée

Dans le cas où un établissement déclare une vulnérabilité sur l’extranet de Maincare, un processus spécifique est engagé avec les équipes R&D et la Direction de la Sécurité Produits pour s’assurer de la réalité de la vulnérabilité, en évaluer le niveau de gravité, et proposer des actions immédiates. Ce processus peut conduire, au besoin, Maincare à émettre un flash support de sécurité, à destination de tous ses clients concernés, détaillant la vulnérabilité dans son contexte et la procédure à appliquer : mise à jour corrective, changement de configuration...
Lorsque l’analyse de Maincare montre que le problème de sécurité déclaré n’est finalement pas lié à un produit Maincare, mais dépend d’un autre logiciel ou équipement de sécurité sous la responsabilité du client ou d’un de ses prestataires (éditeur tiers, hébergeur), Maincare continue d’accompagner son client avec des préconisations issues de son expérience.
La gestion des alertes de sécurité est elle-même traitée avec le plus haut niveau de confidentialité, avec des échanges sécurisés entre la cellule de crise de l’éditeur et les RSSI et personnels habilités des clients concernés.
Maincare entretient un lien régulier avec le CERT Santé(1), les alertes de sécurité et Flash Support, associés impactant les clients qui sont répartis. De son côté, celui-ci alerte Maincare lorsque lui sont signalées des vulnérabilités pouvant concerner les produits de Maincare. « Nos équipes contactent alors immédiatement les clients pour analyser la situation et les accompagnent pour corriger la situation », indique le Directeur Sécurité Produits chez Maincare.

Un enjeu permanent

Avec la mise en oeuvre de toutes ces procédures, Maincare accélère sa démarche de sécurité guidée par l’idée que le risque zéro en matière de sécurité n’existe pas : « Seule l’amélioration continue permet de rendre les applicatifs les plus sûrs possibles », souligne Jérôme Demange.

(1) Le CERT Santé est un service national qui contribue à la cybersurveillance. Il assure le traitement des signalements des incidents de sécurité et mène des actions d’accompagnement et de prévention auprès des établissements de santé.