Si vous êtes en état de détresse, veuillez texter  à 988 n’importe quand. En cas d’urgence, appelez le 9-1-1 ou rendez-vous à votre service d’urgence local.

Cadre d’évaluation des applications de santé mentale

6. Normes en matière de sécurité et de stabilité technique

 CritèresOrigine du critère
6a, Q1L’application se connecte-t-elle à une interface de programmation d’applications (API) en ligne (par exemple, service Web de développeur d’applications, médias sociaux, publicités)?ORCHA
6a, Q2Dressez la liste des interfaces API utilisées.ORCHA
6a, Q3L’application est-elle intégrée à un appareil?ORCHA
6a, Q4L’application intègre-t-elle l’un des éléments suivants : dossier médical électronique (DME), dossier de santé électronique (DSE), dossier de santé personnel (DSP) ou système de spécialité clinique (SSC)?CSMC
6a, Q5L’application fonctionne-t-elle sans Wi-Fi?ORCHA
6a, Q6L’application fonctionne-t-elle sans réseau cellulaire?ORCHA
6a, Q7L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?ORCHA
6a, Q8Les données sensibles persistent-elles[1] sur l’appareil mobile?ORCHA
6a, Q9L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?ORCHA
6a, Q10Quelles sont les autorisations demandées par l’application?ORCHA
6a, Q11L’application envoie-t-elle des alertes ou des notifications?ORCHA
6a, Q12L’application fait-elle des suggestions?ORCHA
6a, Q13L’application fait-elle des calculs?ORCHA
6a, Q14Le code source et les éléments de configuration du produit font-ils tous l’objet d’un contrôle de versions, et les modifications sont-elles toutes vérifiées?ORCHA
6a, Q15
  • Donnez des précisions quant aux processus, procédures et outils connexes utilisés.
ORCHA
6a, Q16Pouvez-vous revenir à des versions antérieures de votre produit?ORCHA
6a, Q17
  • Donnez des précisions quant aux processus, procédures et outils connexes utilisés.
ORCHA
6a, Q18Décrivez vos processus pour recevoir les signalements de défaillances techniques par les utilisateurs finaux et y répondre.ORCHA
6a, Q19Offrez-vous une assistance en ligne pour les questions des utilisateurs?ORCHA
6a, Q20Surveillez-vous de manière proactive le fonctionnement des systèmes et de leurs composantes afin de repérer automatiquement les défaillances et les problèmes techniques?ORCHA
6a, Q21
  • Donnez des précisions quant aux processus, procédures et outils connexes utilisés.
ORCHA
6a, Q22Avez-vous une feuille de route documentée pour le développement futur de votre produit?ORCHA
6a, Q23
  • Donnez des précisions sur le développement et les mises à jour techniques prévus.
ORCHA
6a, Q24Expliquez comment vous comptez assurer la disponibilité continue de votre produit.ORCHA
6a, Q25Avez-vous un plan de mise hors service de votre produit?ORCHA
6a, Q26Décrivez vos processus de mise hors service de votre produit et de traitement de toute donnée permettant d’identifier une personne.ORCHA
6a, Q27Avez-vous un plan pour le traitement des données permettant d’identifier une personne pour l’éventualité où cette dernière cesse d’utiliser votre produit (par exemple, si elle désinstalle l’application ou s’en désabonne)?ORCHA
6a, Q28
  • Donnez des précisions quant aux processus, procédures et outils connexes utilisés.
ORCHA
6a, Q29L’organisme suit-il des normes d’essai formelles?ORCHA
6a, Q30
  • Donnez des précisions quant aux processus, procédures et outils connexes utilisés.
ORCHA
6a, Q31Veuillez décrire les personnes ou les rôles participant à chacune des activités suivantes et les processus sur lesquels ils interviennent, même s’ils sont informels.ORCHA
6a, Q32
  • Essai unitaire
ORCHA
6a, Q33
  • Essai de régression
ORCHA
6a, Q34
  • Essai de bout en bout ou d’intégration
ORCHA
6a, Q35
  • Essai d’acceptation par l’utilisateur
ORCHA
6a, Q36

 Test A/B

Directives :

Forme d’essai de l’expérience utilisateur dans laquelle deux variantes de quelque chose (A et B) sont testées pour déterminer la meilleure des deux.

ORCHA
6a, Q37
  • Test de pénétration ou de vulnérabilité
ORCHA
6a, Q38
  • Essais sur plusieurs appareils
ORCHA
6a, Q39
  • Test de charge ou de performance
ORCHA
6a, Q40
  • Test de sécurité
ORCHA
6a, Q41
  • Autres tests non fonctionnels
ORCHA
6a, Q42
  • Autres tests
ORCHA

[1] La persistance est la capacité de conserver les données après la fin du processus qui les a créées.

 

Critères

Origine du critère

6b, Q1

L’application est-elle une application native d’un appareil mobile?

ORCHA

6b, Q2

L’application est-elle une application Web?

ORCHA

6b, Q3

Des interfaces API Web sont-elles utilisées?

ORCHA

6b, Q4

L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?

ORCHA

6b, Q5

Les données sensibles persistent-elles sur l’appareil mobile?

ORCHA

6b, Q6

Quelles sont les autorisations demandées par l’application?

ORCHA

6b, Q7

Quel niveau OWASP est attribué à l’application?

Directives :

L’évaluateur doit déterminer le niveau OWASP de l’application à partir des renseignements suivants.

S’il s’agit d’une application mobile; et

SI l’application accède à des données personnelles ou sensibles, en traite ou en stocke

Son niveau OWASP est alors MASVS-2

SI des données sensibles persistent sur l’appareil, l’application se voit alors attribuer le niveau MASVS-2+R.

SINON

Son niveau OWASP est alors MASVS-1

S’il s’agit d’une application Web; et

SI l’application accède à des données personnelles ou sensibles, en traite ou en stocke

Son niveau OWASP est alors ASVS-2

SINON

Son niveau OWASP est alors ASVS-1

ORCHA

6b, Q8

L’application est-elle connectée aux DSE nationaux ou régionaux?

ORCHA

6b, Q9

L’application envoie-t-elle des alertes ou des notifications?

ORCHA

6b, Q10

L’application fait-elle des suggestions?

ORCHA

6b, Q11

L’application fait-elle des calculs?

ORCHA

6b, Q12

L’application permet-elle de faire des achats?

ORCHA

6b, Q13

Une évaluation de la sécurité a-t-elle été effectuée par un tiers externe accrédité?

ORCHA

6b, Q14

Le tiers externe est-il un fournisseur détenant l’accréditation CREST, APMG ou CHECK?

ORCHA

6b, Q15

La portée du rapport couvre-t-elle l’ensemble de l’architecture technique de l’application?

ORCHA

6b, Q16

Une norme de l’industrie a-t-elle été utilisée pour établir le modèle de risque utilisé lors des essais de pénétration ou de vulnérabilité connexes?

ORCHA

6b, Q17

Les risques ou les problèmes moyens repérés ont-ils tous été atténués et résolus, et cela peut-il être démontré par un nouvel essai dans les six semaines suivant le test de pénétration ou de vulnérabilité initial?

ORCHA

6b, Q18

Le test de pénétration a-t-il été effectué au cours des 12 derniers mois?

ORCHA

6b, Q19

La sécurité au niveau du code a-t-elle été évaluée en fonction du bon niveau OWASP?

ORCHA

6b, Q20

La méthodologie utilisée dans le cadre de l’examen de sécurité est-elle proportionnelle au niveau de risque d’attaque qui pèse sur l’application?

ORCHA

6b, Q21

L’organisme détient-il la certification CyberSécuritaire Canada?

CSMC

6b, Q22

L’organisme respecte-t-il les 20 principales mesures de contrôle de sécurité du CIS?

US DHAF

6b, Q23

L’organisme détient-il la certification SOC 2?

US DHAF

6b, Q24

L’organisme détient-il la certification ISO 27001?

ORCHA