Référentiels d'identification électronique - Les webinaires de l'ANS Acteurs de santé personnes physiques - Agence du ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Référentiels d’identification électronique Acteurs de santé personnes physiques Les webinaires de l’ANS Mardi 6 juillet 2021
Bonnes pratiques
1. Communiquer via ZOOM :
✓ Durant la présentation, vos micros et caméras sont coupés : le tchat zoom (onglet « converser ») permettra de
dialoguer et poser les questions.
✓ Durant les sessions «questions / réponses» , vous pouvez intervenir en direct. Pour cela, merci d’indiquer dans
le chat que vous souhaitez prendre la parole, et un animateur activera votre micro.
2. Se renommer :
✓ Afin de pouvoir vous identifier et répondre au mieux à vos questions, merci de vous renommer. Pour cela,
rendez-vous dans l’onglet « Participants », cliquez sur votre nom, puis « Renommer ». Merci d’indiquer le nom
de votre organisme, ainsi que votre nom et prénom.
3. Revoir le webinaire :
✓ Ce webinaire est enregistré (audio, vidéo et présentations).
L’enregistrement pourra être mis en ligne sur le site internet de l’agence :
https://esante.gouv.fr/ans/les-webinaires
2
L'intervenant
Vincent CROISILE
Expert Sécurité des SI
Agence du Numérique en Santé
vincent.croisile@esante.gouv.fr
3L’Agence du Numérique en Santé : 3 missions
MISSION 1
1. Créer les conditions du développement et de la régulation du
numérique en santé
2.MISSION 2
Permettre aux professionnels et usagers de bénéficier de
l’innovation et des mutations numériques
3. Assister les pouvoirs publics dans la conduite de projets
numériques d’intérêt national
MISSION 3
4Sommaire Contexte d’élaboration des référentiels Evolution de la PGSSI-S Concepts sur l’identification électronique Les exigences pour les acteurs de santé personnes physiques
Contexte d’élaboration des référentiels
Constats
1. Accès trop peu sécurisé sur de nombreux services numériques de santé
(login / mot de passe sur sites de RDV en ligne, accès à des résultats de biologie en lien
+ date de naissance, etc.)
2. Hétérogénéité des méthodes d’authentification, variables d’un service à un autre
pour le même type de données manipulées
3. Nombreux professionnels exclus de l’accès aux services numériques en
l’absence des Moyens d’Identification Electronique adéquats (ex: professionnels
intervenant en santé ne pouvant pas consulter le Dossier Médical Partagé, etc.)
7Refonte de la DTNS sur l’identification électronique: quels objectifs ?
1. Assurer aux citoyens un niveau de garantie minimal dans l’accès à leur données
de santé et faire monter l’écosystème en maturité
2. Faciliter pour les usagers l’accès aux services numériques en santé et la
navigation entre ces services
3. Décharger les fournisseurs de services (FS) de l’identification électronique, au
profit d’un nombre réduit de fournisseurs d’identité (FI) délivrant et maintenant des
moyens d’identification électroniques (MIE)
4. Promouvoir les répertoires de référence dans l’identification des acteurs (INS,
RPPS, FINESS), pilier de l’interopérabilité
8Environnement réglementaire
1. Règlement européen eIDAS, définissant les 3 niveaux de garantie de l’IE :
I – faible « réduire le risque d’utilisation abusive ou d’altération de l’identité »
II – substantiel « réduire substantiellement le risque d’utilisation abusive ou d’altération de
l’identité »
III – élevé « empêcher l’utilisation abusive ou l’altération de l’identité »
(https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-
eidas/referentiel-documentaire-lie-au-reglement-eidas/)
2. Articles 1470-1 à 1470-5 du code de la santé publique (issus de l’ordonnance sur
l’identification électronique n°2021-581 du 12 mai 2021) en vertus desquels les
référentiels d’identification électronique de la PGSSI-S (Politique Générale de
Sécurité des Systèmes d’Information en Santé) doivent être rendus opposables par
arrêté
9Evolution de la PGSSI-S
Refonte des référentiels d’identification et d’authentification
Clarification des notions et des concepts, en ligne avec le règlement eIDAS
• Fusion identification / authentification > identification électronique, incluant tout le processus (enrôlement,
délivrance et maintien des moyens d’identification électronique « MIE »), ainsi que la nécessaire synchronisation
avec les répertoires de référence
Restructuration en trois chapitres sur l’Identification Electronique (IE)
• Usagers (ex : personnes, citoyens, patients, aidants, etc.)
• Acteurs de santé personnes physiques – ASPP (ex: médecins, secrétaires médicales, etc.)
• Acteurs de santé personnes morales – ASPM (ex: établissement de santé, CPTS, EHPAD, etc.)
Distinction nette du contrôle d’accès (= habilitations = autorisations = consentements =
oppositions)
• Processus différent de l’identification électronique : ca n’est pas au fournisseur d’identité de gérer le contrôle des
accès pour le fournisseur de service (nombreux et pouvant se rajouter après l’enrôlement), ce qui n’empêche pas
de concevoir, à terme, un répertoire partagé des CA (« dites le nous une fois »). L’IE se concentre sur le fait de
s’assurer qu’on a la « bonne personne » à l’autre bout du fil, pas de savoir si elle doit ensuite avoir accès
au service.
• Le CA peut :
• Être paramétré au niveau de chaque service numérique
• Être en partie basé, par défaut, sur des attributs de l’IE (ex : profession, etc.)
11Impact sur la PGSSI-S
Référentiels Guides
4 [Objectif d’Opposabilité] 13 [Objectif d’Accompagnement]
support
Identification acteurs sanitaires et médico-sociaux Sensibilisation sécurité SIS
Authentification des acteurs de santé Grille applicabilité des référentiels PGSSI-S
Autorités de certification éligibles pour
l’authentification publique dans le secteur santé
organisation
Imputabilité (gestion de preuve et traçabilité) Memento sécurité informatique pour PS libéraux
REFONTE IE
Force probante des documents de santé (publié en Guide élaboration et mise en œuvre PSSI
mars 2021)
guides pratiques spécifiques
Dispositifs connectés
Mise en place d’accès Wifi
Identification électronique des acteurs de santé Interventions à distance
[personnes physiques] Destruction sécurisée de données
Identification électronique des acteurs de santé Sauvegarde des SI Santé
[personnes morales] Plan de continuité
Accès web pour tiers
Identification électronique des usagers
Protection d’intégrité des données stockées
Gestion des habilitations d’accès au SI
12Concepts sur l’identification électronique
Définitions
• S’identifier : communiquer un identifiant présumé
• S’authentifier : apporter la preuve que la personne s’est vue attribuer cet identifiant
• Fournisseur d’identité : entité en charge d’enregistrer la personne (de lui délivrer un
identifiant) et de lui fournir un moyen d’identification électronique pour lui permettre
de s’authentifier
• Fournisseur de service : entité responsable d’un service numérique, elle identifie et
authentifie les utilisateurs du service en s’appuyant sur le fournisseur d’identité
• Répertoire d’identité : annuaire de personnes physiques ou morales intégrant les
données d’identité de chaque personne
• Répertoire sectoriel de référence : répertoire d’identité portant sur un
secteur d’activité particulier (Ex: RPPS et FINESS pour la santé)
• Répertoire d’identité privé : les autres répertoires d’identité (Ex: annuaire
local de type Active Directory)Processus d’identification électronique
Fournisseur
d’identité
Enregistrement
3. Délivrance d’un
1. Enregistrement moyen d’identification Répertoire
électronique sectoriel de
2. Création de référence
l’identité électronique [FI optionnel]
5. Obtention de
Fournisseur données complémentaires
d’identité [optionnel]
Identification et Fournisseur
authentification de service
Personne
physique 4. Identification Service numérique
électronique auprès du
service numériqueRecours à un fédérateur de fournisseurs d’identité
Fournisseur
d’identité
Répertoire
Identification et
sectoriel de
authentification 3. Identité référence
électronique
4. Obtention d’attributs
2. Identification électronique
d’identité complémentaires
avec le MIE du FI sélectionné
[optionnel]
par l’utilisateur
Fédérateur de
Fournisseurs d’identité
Prise en charge Fournisseur
1. Demande d’identification des FI de service
Personne 5. Identité électronique
électronique via le complétée par le Service numérique
physique
fédérateur d’identité FédérateurLes exigences pour les acteurs de santé personnes physiques
Distinction services sensibles / autres services numériques
Services sensibles : services traitant des données de santé à caractère personnel, au
sens du RGPD et présentant au moins une des caractéristiques suivantes :
- Services partagés, définis comme dépassant le cadre d’une personne morale
et/ou à dimension nationale ou territoriale (ex : dossier médical partagé,
téléservice INSi, plateforme de e-parcours, dossier pharmaceutique, etc.) ;
- Par transitivité, les services numériques qui intègrent des services partagés (ex :
dossier patient informatisé, système de gestion de laboratoire, système
d’information de radiologie, etc.) ;
- Les services proposant un accès web externe aux SI, pour les professionnels
d’un établissement ou leurs correspondants de ville ;
- Les services non partagés mais qui intègrent des traitements à grande échelle,
notamment si le nombre de patients dont les données sont traitées (création,
visualisation, modification, etc.) dépasse 10 000 par an.
Pour les services qui n’appartiennent pas à ces catégories : le référentiel constitue
uniquement une recommandation à ce stade avec possibilité d’élargissement à l’avenir
18Identifiants autorisés
Les identifiants nationaux des personnes physiques acteurs de
santé sont requis pour les services sensibles :
• Identifiant RPPS, à utiliser en priorité s’il existe pour la
personne à identifier ;
• Identifiant ADELI, toléré de façon transitoire jusqu’à son
remplacement définitif par l’identifiant RPPS
(septembre/octobre 2021 pour les infirmiers et en trois phases
entre 2021 et 2022 pour les autres professions aujourd’hui
enregistrées dans ADELI par les ARS).
Pour les services non sensibles : identifiant privé établi sous la
responsabilité du fournisseur de service ou de son fournisseur
d’identité (ex : matricule attribué par un SI RH, identifiant LDAP /
Active Directory, …) est toléré.Moyens d’identification électronique autorisés
01/01/2021 01/01/2022 01/01/2023 01/01/2026
Pro Santé Connect (§4.2)
Cartes CPx (§4.3)
Moyens d’identification électronique homologués (§4.4)
Moyens d’identification électronique de niveau eIDAS substantiel certifiés par l’ANSSI (§4.5)
Moyens d’identification électronique de niveau eIDAS faible « renforcé » (§4.6)
Autres moyens
Légende Implémentation impérative
Implémentation autorisée
Fin d’autorisationMoyens d’identification électronique (auto-)homologués
• Cette homologation doit s’appuyer sur :
• Une analyse de risque du moyen d’identification
électronique et du système d’information associé
• Un audit de conformité au référentiel européen
d’exigences pour les identités électroniques de niveau
substantiel
• Une évaluation technique de la sécurité du dispositif
d’authentification (Ex: évaluation CSPN ANSSI)
• Le fournisseur de service doit communiquer à l’ANS sa
décision d’homologation ainsi que les pièces listées ci-dessus.Moyens d’identification électronique faibles « renforcés » Principales mesures : • Authentification à 2 facteurs • Vérification d’identité lors de l’enrôlement • Restriction de l’accès au compte en cas de tentatives répétées : temporisation / verrouillage / captcha • Mot de passe robuste
Feuille de route
01/01/2021 01/01/2022 01/01/2023 01/01/2026
Pro Santé Connect (§4.2)
Cartes CPx (§4.3)
Moyens d’identification électronique homologués (§4.4)
Moyens d’identification électronique de niveau eIDAS substantiel certifiés par l’ANSSI (§4.5)
Moyens d’identification électronique de niveau eIDAS faible « renforcé » (§4.6)
Autres moyens
Légende Implémentation impérative
Implémentation autorisée
Fin d’autorisationA noter
• La concertation sur les référentiels d’identification
électronique est ouverte jusqu’au 30 juillet :
https://participez.esante.gouv.fr/project/concertation-
referentiels-didentification-
electronique/presentation/presentation
• 2 autres webinaires sont planifiés pour présenter les
autres volets des référentiels d’identification électronique
(inscription comme pour ce webinaire) :
• Acteurs de santé personnes morales (07/07)
• Usagers / Patients (09/07)Donnez-nous votre avis sur ce
webinaire :
https://forms.gle/k94e1aF1iX6Ty39L6
Temps d’échanges
Vos remarques ? Vos questions ?
Vous souhaiteriez que l’ANS organise un webinaire sur un sujet
e-santé particulier ? Contactez-nous sur
communication@esante.gouv.fr
25En savoir plus
esante.gouv.fr
Le portail pour accéder à l’ensemble des services
et produits de l’agence du numérique en santé et
s’informer sur l’actualité de la e-santé.
@esante_gouv_fr
linkedin.com/company/agence-du-
numerique-en-sante
participez.esante.gouv.fr
L’espace de concertation de l’agence du
numérique en santé.
L’Essentiel
La lettre d’information de l’agence du numérique
en santé.
26Vous pouvez aussi lire
