Cadre d’évaluation des applications de santé mentale

6. Normes en matière de sécurité et de stabilité technique

Navigation

	Critères	Origine du critère
6a, Q1	L’application se connecte-t-elle à une interface de programmation d’applications (API) en ligne (par exemple, service Web de développeur d’applications, médias sociaux, publicités)?	ORCHA
6a, Q2	Dressez la liste des interfaces API utilisées.	ORCHA
6a, Q3	L’application est-elle intégrée à un appareil?	ORCHA
6a, Q4	L’application intègre-t-elle l’un des éléments suivants : dossier médical électronique (DME), dossier de santé électronique (DSE), dossier de santé personnel (DSP) ou système de spécialité clinique (SSC)?	CSMC
6a, Q5	L’application fonctionne-t-elle sans Wi-Fi?	ORCHA
6a, Q6	L’application fonctionne-t-elle sans réseau cellulaire?	ORCHA
6a, Q7	L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?	ORCHA
6a, Q8	Les données sensibles persistent-elles^[1] sur l’appareil mobile?	ORCHA
6a, Q9	L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?	ORCHA
6a, Q10	Quelles sont les autorisations demandées par l’application?	ORCHA
6a, Q11	L’application envoie-t-elle des alertes ou des notifications?	ORCHA
6a, Q12	L’application fait-elle des suggestions?	ORCHA
6a, Q13	L’application fait-elle des calculs?	ORCHA
6a, Q14	Le code source et les éléments de configuration du produit font-ils tous l’objet d’un contrôle de versions, et les modifications sont-elles toutes vérifiées?	ORCHA
6a, Q15	Donnez des précisions quant aux processus, procédures et outils connexes utilisés.	ORCHA
6a, Q16	Pouvez-vous revenir à des versions antérieures de votre produit?	ORCHA
6a, Q17	Donnez des précisions quant aux processus, procédures et outils connexes utilisés.	ORCHA
6a, Q18	Décrivez vos processus pour recevoir les signalements de défaillances techniques par les utilisateurs finaux et y répondre.	ORCHA
6a, Q19	Offrez-vous une assistance en ligne pour les questions des utilisateurs?	ORCHA
6a, Q20	Surveillez-vous de manière proactive le fonctionnement des systèmes et de leurs composantes afin de repérer automatiquement les défaillances et les problèmes techniques?	ORCHA
6a, Q21	Donnez des précisions quant aux processus, procédures et outils connexes utilisés.	ORCHA
6a, Q22	Avez-vous une feuille de route documentée pour le développement futur de votre produit?	ORCHA
6a, Q23	Donnez des précisions sur le développement et les mises à jour techniques prévus.	ORCHA
6a, Q24	Expliquez comment vous comptez assurer la disponibilité continue de votre produit.	ORCHA
6a, Q25	Avez-vous un plan de mise hors service de votre produit?	ORCHA
6a, Q26	Décrivez vos processus de mise hors service de votre produit et de traitement de toute donnée permettant d’identifier une personne.	ORCHA
6a, Q27	Avez-vous un plan pour le traitement des données permettant d’identifier une personne pour l’éventualité où cette dernière cesse d’utiliser votre produit (par exemple, si elle désinstalle l’application ou s’en désabonne)?	ORCHA
6a, Q28	Donnez des précisions quant aux processus, procédures et outils connexes utilisés.	ORCHA
6a, Q29	L’organisme suit-il des normes d’essai formelles?	ORCHA
6a, Q30	Donnez des précisions quant aux processus, procédures et outils connexes utilisés.	ORCHA
6a, Q31	Veuillez décrire les personnes ou les rôles participant à chacune des activités suivantes et les processus sur lesquels ils interviennent, même s’ils sont informels.	ORCHA
6a, Q32	Essai unitaire	ORCHA
6a, Q33	Essai de régression	ORCHA
6a, Q34	Essai de bout en bout ou d’intégration	ORCHA
6a, Q35	Essai d’acceptation par l’utilisateur	ORCHA
6a, Q36	Test A/B Directives : Forme d’essai de l’expérience utilisateur dans laquelle deux variantes de quelque chose (A et B) sont testées pour déterminer la meilleure des deux.	ORCHA
6a, Q37	Test de pénétration ou de vulnérabilité	ORCHA
6a, Q38	Essais sur plusieurs appareils	ORCHA
6a, Q39	Test de charge ou de performance	ORCHA
6a, Q40	Test de sécurité	ORCHA
6a, Q41	Autres tests non fonctionnels	ORCHA
6a, Q42	Autres tests	ORCHA

^[1] La persistance est la capacité de conserver les données après la fin du processus qui les a créées.

6b. Sécurité technique

	Critères	Origine du critère
6b, Q1	L’application est-elle une application native d’un appareil mobile?	ORCHA
6b, Q2	L’application est-elle une application Web?	ORCHA
6b, Q3	Des interfaces API Web sont-elles utilisées?	ORCHA
6b, Q4	L’application accède-t-elle à des données personnelles ou sensibles, en traite-t-elle ou en stocke-t-elle?	ORCHA
6b, Q5	Les données sensibles persistent-elles sur l’appareil mobile?	ORCHA
6b, Q6	Quelles sont les autorisations demandées par l’application?	ORCHA
6b, Q7	Quel niveau OWASP est attribué à l’application? Directives : L’évaluateur doit déterminer le niveau OWASP de l’application à partir des renseignements suivants. S’il s’agit d’une application mobile; et SI l’application accède à des données personnelles ou sensibles, en traite ou en stocke Son niveau OWASP est alors MASVS-2 SI des données sensibles persistent sur l’appareil, l’application se voit alors attribuer le niveau MASVS-2+R. SINON Son niveau OWASP est alors MASVS-1 S’il s’agit d’une application Web; et SI l’application accède à des données personnelles ou sensibles, en traite ou en stocke Son niveau OWASP est alors ASVS-2 SINON Son niveau OWASP est alors ASVS-1	ORCHA
6b, Q8	L’application est-elle connectée aux DSE nationaux ou régionaux?	ORCHA
6b, Q9	L’application envoie-t-elle des alertes ou des notifications?	ORCHA
6b, Q10	L’application fait-elle des suggestions?	ORCHA
6b, Q11	L’application fait-elle des calculs?	ORCHA
6b, Q12	L’application permet-elle de faire des achats?	ORCHA
6b, Q13	Une évaluation de la sécurité a-t-elle été effectuée par un tiers externe accrédité?	ORCHA
6b, Q14	Le tiers externe est-il un fournisseur détenant l’accréditation CREST, APMG ou CHECK?	ORCHA
6b, Q15	La portée du rapport couvre-t-elle l’ensemble de l’architecture technique de l’application?	ORCHA
6b, Q16	Une norme de l’industrie a-t-elle été utilisée pour établir le modèle de risque utilisé lors des essais de pénétration ou de vulnérabilité connexes?	ORCHA
6b, Q17	Les risques ou les problèmes moyens repérés ont-ils tous été atténués et résolus, et cela peut-il être démontré par un nouvel essai dans les six semaines suivant le test de pénétration ou de vulnérabilité initial?	ORCHA
6b, Q18	Le test de pénétration a-t-il été effectué au cours des 12 derniers mois?	ORCHA
6b, Q19	La sécurité au niveau du code a-t-elle été évaluée en fonction du bon niveau OWASP?	ORCHA
6b, Q20	La méthodologie utilisée dans le cadre de l’examen de sécurité est-elle proportionnelle au niveau de risque d’attaque qui pèse sur l’application?	ORCHA
6b, Q21	L’organisme détient-il la certification CyberSécuritaire Canada?	CSMC
6b, Q22	L’organisme respecte-t-il les 20 principales mesures de contrôle de sécurité du CIS?	US DHAF
6b, Q23	L’organisme détient-il la certification SOC 2?	US DHAF
6b, Q24	L’organisme détient-il la certification ISO 27001?	ORCHA