Health Optimisation through 4P Ecosystems

Une suite de logiciels et d’outils pour la sécurisation des applications médicales

De Health Optimisation through 4P Ecosystems
Aller à la navigation Aller à la recherche

L’expérience que le laboratoire ICube et ses partenaire a gagnée lors du développement des environnements de gestion de données patients nous a conduit à formaliser une activité de support pour la sécurisation des applications médicales, qui a vocation à être mise à disposition de l’ensemble des partenaires et utilisateur du projet HOPE :

  • Outils pour la conception et le développement d'applications sécurisées
  • Outils pour la surveillance des applications et l'investigation suite à incident
  • Bonnes pratiques de développement sécurisé

Les outils pour la conception et le développement d'applications sécurisées sont en particulier constitués de la suite Archan (Architecture Analysis), qui permet de contrôler que les bonnes pratiques architecturales pour la sécurisation des applications web, telles que nous les définissons sur la base des principes de Saltzer et Schroeder (médiation totale, économie de mécanisme, séparation de privilèges, etc.), sont respectées dans l’environnement de gestion de données patient. Archan est en cours de développement.

Les outils pour la surveillance des applications et l'investigation suite à incident sont intégrés dans la suite Meerkat, qui permet de contrôler les accès dans l’application, à la fois a priori par la définition de politiques de contrôle d’accès, en mode ‘supervision’ par la visualisation des ressources effectivement utilisées par les utilisateurs, et pour l’investigation en fournissant a posteriori l’accès aux traces d’accès et à l’historique des logs. Meerkat est en cours de développement.

La mise en œuvre de ces outils n’est efficace que si elle s’intègre dans une méthodologie de développement rigoureuse pour garantir la cohérence et la couverture des mesures de sécurité mises en œuvre. Nous avons donc défini un ensemble de bonnes pratiques de développement sécurisé pour les applications médicales, avec le Medical Application Security Maturity Model (MASMM), le Medical Application Security Compliance Audit Framework (MASCAF) et le Medical Application Security Code Review Framework (MASCRF). Ces trois cadres de références étendent les bonnes pratiques de l’OWASP en intégrant les spécificités des applications médicales, en particulier dans le domaine des maladies rares.

Récupérée de « http:///https//hope.unistra.fr/index.php?title=Une_suite_de_logiciels_et_d’outils_pour_la_sécurisation_des_applications_médicales&oldid=12 »