Sécurisez vos applications web & API avec une solution souveraine et conforme HDS… une réponse à Pro Santé Connect.

Lors du Congrès de l’APSSIS, Basile HODARA, Responsable offre Cyber Sécurité, CLARANET et Valentin Artaud, Responsable Avant-Vente et Ventes à l’international, UBIKA présentent la conférence : « Sécuriser vos applications web & API avec une solution souveraine et conforme HDS… une réponse à Pro Santé Connect. »

Claranet et UBIKA sont partenaires depuis 2018.

Claranet, fondé en 1996, certifié ISO 27702 est hébergeur de données de santé depuis 2010. La société propose 4 grandes offres : audit, protection web et API, détection (soc, xdr, edr) et formation. Chez Claranet, la santé représente + de 100 collaborateurs, + de 400 clients santé, et un cœur de métier vers les services managés / infogérance.

A propos d’UBIKA

Concernant notre société, vous nous avez connu sous les noms Beeware, DenyAll, Rhode & Schwarz. Depuis juin 2022, nous sommes devenus UBIKA (qui a le don d’ubiquité) : notre seul métier est la protection des applications web et des APIs, peu importe où elles sont hébergées et sous tous les form factors (Container, VM, Appliance, Cloud).

• Existe depuis plus de 20 ans
• A co-fondé Hexatrust
• Dispose d’équipes en veille et innovation
• Est souverain avec un actionnariat européen. La souveraineté est un facteur important pour nous qui travaillons avec des environnements de confiance (OVH, Outscale et autres Clouds privés).
• Est récemment en cours de re-certification CSPN sur notre dernière version : gage de qualité et de sécurité pour nos clients. Le code est revu, les moteurs de sécurité qui sont dans la solution sont des moteurs qui sont dans la version qui est certifiée mais qui est une ancienne version.

Le Cloud a été un sujet sur lequel nous avons beaucoup travaillé avec Claranet. Ils ont été les premiers à nous emmener vers les hyperscalers.

Tous nos produits sont des produits qui s’administrent de manière simple sous forme de workflow graphiques. A l’instar de l’implémentation de pro santé connect : nous verrons pendant la conférence comment nous vous aidons à renforcer la sécurité et l’authentification justement en utilisant ces workflows graphiques.

Principe de fonctionnement du WAF

LE WAF (ou WAAP avec la nouvelle définition du Gartner qui introduit la notion d’API) fonctionne sous forme d’un reverse proxy. Nous interceptons toutes les requêtes entrantes sur vos applications web externes et internes. C’est important de protéger tous les flux qui sont à destination des applications web. Nous ne parlons pas de flux réseaux, uniquement de flux applicatifs sur la couche HTTP (vous avez même de l’IOT en hôpital qui parle en http).

Nous interceptons ces flux, nous faisons passer ces requêtes dans des moulinettes pour s’assurer qu’elles ne contiennent pas de code malicieux.

Nous sommes en coupure de flux applicatif on peut également authentifier.

Notre valeur ajoutée du partenariat avec Claranet, c’est de proposer du service récurrent.

• Revue hebdomadaire manuelle des alertes de sécurité, par un SOC analyste pour affinage de la configuration
• Ajout d’exceptions proactive pour limiter le nombre de faux positifs et améliorés l’expérience utilisateur
• Vérification mensuelle de l’étanchéité du WAF
• Préconisation d’optimisation de la configuration du WAF pour améliorer la sécurité de la protection
• Threat intelligence et étude de la menace pour être force de proposition dans la modernisation de la sécurité de vos applications et services web
• MCO est MCS du service

Également de disposer d’indicateurs sur l’activité malveillante

• Des KPI pour prendre de la hauteur et mesurer l’efficacité de la protection du risque
• Un suivi de l’adéquation entre les mesures de sécurité et votre contexte et vos enjeux
• Le pilotage du plan d’amélioration de la sécurité

Un outil vient scanner le niveau d’étanchéité du WAF.

Pour répondre aux enjeux du secteur de la santé

Les personnels de santé ont soit des cartes physiques CPS ou e-CPS, avec l’application mobile qui permet de s’authentifier grâce à pro santé connect. On peut maintenant déléguer l’authentification depuis le WAAP à pro santé connect. Nous avons un module « Web Access Management » complémentaire au WAF, qui se trouve sur la même appliance virtuelle ou physique qui permet donc avec la même solution la protection applicative et l’authentification.
La délégation d’authentification est réalisée sur le WAAP ce qui vous permet un gain de temps et exclu de redévelopper une application qui ne serait pas nativement compatible avec le protocole open ID Connect.

3 fondements règlementaires

• Depuis 2019, Pro Santé connect est présent pour le MFA et sur les applis qui traitent des données à caractère personnel.
• La PGSSI-S qui depuis le 1er janvier 2023 impose le MFA sur l‘ensemble des appli des pro de santé.
• NIS 2 qui est encore à un horizon lointain mais dont la date d’application en octobre 2024 va demander à ce que la sécurité des appli web et des API soit renforcé sur l’ensemble de la chaîne car NIS 2, contrairement à NIS 1, implique l’ensemble de la sous-traitance qui doit se mettre en conformité.

3 grands risques liées à l’exposition sur le web :

• Exfiltration de données
• Compromission du SI
• Défacement / notoriété et disponibilité des services