2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"

Description des
spécifications
fonctionnelles et
techniques pour
s’intégrer à l’espace de
confiance.

2
Sommaire
I. Le système MSSanté et l’espace de confiance
• Le Contexte: Etat des lieux
• L’espace de confiance MSSanté, le service ASIP Santé pour le compte des
Ordres
• Comment un opérateur intègre-t-il l’espace de confiance MSSanté ?
• Introduction DSFT Opérateurs, DST Clients de messagerie
II. DSFT Opérateurs
• Exigences fonctionnelles et techniques applicables aux opérateurs MSSanté
• Interfaces clientes proposées par les opérateurs
• Interfaces d’accès à l’Annuaire National MSSanté pour les opérateurs
• Exemples de différentes architectures
III. DST Clients de messagerie
• Spécifications du service de l’opérateur ASIP pouvant être implémentées par
d’autres opérateurs
• Interfaces : IMAP/SMTP sur TLS & Web Services
• Accès à l’Annuaire National MSSanté
IV. Modalités et Plans de tests
MSSanté – DSFT Opérateurs et DST Clients de messagerie

3
Sommaire
Ordres

4
Contexte : Etat des lieux
Les professionnels de santé ont besoin d’échanger des données de
santé dans le respect de la confidentialité autour du patient
L’usage de messageries personnelles non sécurisées sur les
mobiles et en ligne s’est développé de façon massive
Plusieurs systèmes de messageries de santé existent, mais ceux-ci :
► Ne sont pas interopérables entre
eux et fédèrent peu d’utilisateurs
► S’adressent essentiellement à la
médecine de ville
► Ne proposent pas des conditions
satisfaisantes de confidentialité
des échanges

5
Contexte : Etat des lieux
Constat : Les échanges de données de santé sont réalisés
principalement par des services de messagerie non sécurisés, par
courrier, par téléphone, etc.
Système de « Messageries Sécurisées de Santé » (MSSanté):
Messagerie électronique « traditionnelle» avec des fonctionnalités
spécifiques.
Objectif de MSSanté: Permettre les échanges sécurisés,
entre tous les professionnels habilités

6
Sommaire
• L’espace de confiance MSSanté, le service ASIP Santé pour le compte
des Ordres

7
L’espace de confiance MSSanté : Les Opérateurs
Opérateurs :
► Intégrés dans
l’espace de
confiance MSSanté
► Échangent au sein
de cet espace fermé
via des canaux
sécurisés
► Opérateurs
multiples
interopérables entre
eux

8
L’espace de confiance MSSanté : La Liste Blanche
Liste blanche :
► Enregistrement de tous les domaines de messagerie des opérateurs autorisés à
échanger dans l’espace de confiance

9
L’espace de confiance MSSanté : L’Annuaire National
MSSanté
Annuaire
National
MSSanté
► Alimenté par les
opérateurs
► Recense l’ensemble
des utilisateurs
(nom, profession,
identifiant RPPS ou
Adeli…)
► Plusieurs adresses
de messageries
correspondant aux
différentes
situations
d’exercices

10
L’espace de confiance MSSanté, un système sécurisé
Rôle des
opérateurs :
► Gérer et offrir des
services de
messagerie à une
communauté fermée
d’utilisateurs
clairement identifiés
Un système
sécurisé:
► Identités certifiées
► Traçabilité de tous
les échanges
► Intégrité des
messages

11
Le service MSSanté proposé par l’ASIP Santé

12
Le service MSSanté proposé par l’ASIP Santé
Le service de messagerie opéré par l’ASIP Santé
L’opérateur ASIP Santé propose pour le compte des Ordres
professionnels un service:
► Accessible à l’ensemble des professionnels disposant d’une carte CPS
► Webmail « minimum »
• Une seule BAL nominative par PS
• BAL : 2 Go, PJ de 10Mo
• Pré-requis : poste de travail / lecteur de carte connecté / configuration à jour
2 modes d’authentification forte après activation du compte avec la carte
CPS :
► Avec la carte CPS,
► Par Identifiant / Mot de passe + code d’accès à usage unique (OTP) après
activation avec la carte CPS
Des évolutions à venir en 2014 :
► Interfaces d’accès au service par WebServices et SMTP/IMAP sur TLS
(disponible)
► Un client de messagerie open source compatible MSSanté (disponible)
► Un accès en situation de mobilité (smartphone, tablette)

13
Sommaire
Ordres

14
Comment un opérateur intègre t-il l’espace de confiance
MSSanté ?

15
Devenir opérateur MSSanté
Intégration à l’espace de confiance MSSanté
• Principes
• Gestionnaire de l’espace de
confiance, l’ASIP Santé encadre son
utilisation et son fonctionnement :
► Un contrat est conclu entre l’ASIP Santé et
chaque opérateur
► Il a pour objet de déterminer les conditions
d’intégration de l’opérateur à l’espace de
confiance MSSanté et définir les droits et
obligations de chaque partie.
• Le contrat impose à l’opérateur de
se conformer aux exigences du
DSFT :
► Techniques, fonctionnelles et juridiques,
► Respect de la loi informatique et libertés et
des dispositions relatives à l’hébergement de
données de santé.
• En pratique
• Après signature du contrat,
l’intégration à l’espace de confiance se
déroule en 2 temps
• 1er temps : l’intégration provisoire,
► l’opérateur teste et évalue son service de
messagerie sécurisée de santé
► avec des échanges de tests, entre BAL de tests
sans données de santé à caractère personnel
• 2ème temps : l’intégration validée
► l’opérateur envoie à l’ASIP Santé son engagement
de conformité aux exigences du DSFT
► l’accusé de réception lui permet de proposer son
service de messagerie à tout utilisateur final qui
pourra ainsi échanger des données de santé dans
l’espace de confiance MSSanté
• Les opérateurs peuvent être audités

16
Récapitulatif des actions à réaliser pour passer en
production
1. Signature du
contrat opérateur
2. Commande du
certificat serveur de
production
3. Réalisation des
tests
3bis. Autorisation
unique CNIL
4. Déclaration
respect des
exigences du DSFT
5. Validation de
l’intégration au sein
de l’espace de
confiance
Ajout liste blanche – intégration provisoire
0. Envoi du package Opérateur
• Contrat opérateur pré-rempli
• Formulaire de commande CSA
• Formulaire de commande CPE administrateur
technique

17
Sommaire
Ordres

18
DSFT
DSFT
DSFT
DST
DST
Format
propriétaire
Format propriétaire
DST
Interfaces standard décrites
dans le DST (facultatives)
Interfaces format
propriétaire

19
Sommaire
Ordres

21
Sommaire
Ordres
• Exigences fonctionnelles et techniques applicables aux opérateurs
MSSanté
• Interfaces d’accès à l’annuaire national MSSanté pour les opérateurs
• Accès à l’annuaire national MSSanté

22
DSFT Opérateurs v1.0.0
Le DSFT Opérateurs présente :
► Le contexte et les principes du système de
Messageries Sécurisées de Santé
► Des exemples d’implémentations de services de
messageries sécurisées
► Les exigences fonctionnelles et techniques à
respecter par les Opérateurs MSSanté

23
Exigences fonctionnelles et techniques à respecter par
les opérateurs
Les exigences :
► Peuvent être « fonctionnelles » ou « techniques »
► Couvrent l’ensemble des fonctionnalités définies dans le DSFT
• Sécurisation des échanges
• Interfaces avec l’Annuaire National MSSanté
• Interrogation de la liste blanche
• Réception et émission de messages
• Autres exigences (Traces, Synchronisation du temps, …)
► S’appliquent à chacun des opérateurs
Les opérateurs MSSanté s’engagent contractuellement à être conformes à
l’ensemble des exigences du DSFT (conditionne leur intégration validée
dans l’espace de confiance MSSanté)

24
Sommaire
Ordres

25
Interfaces clientes proposées par les opérateurs
MSSanté
L’opérateur ASIP Santé propose 2 modalités
d’accès du client au serveur de messagerie:
► Protocoles standards de messagerie : SMTP et
IMAP sur TLS
► Un catalogue de Web Services offrant des
fonctionnalités équivalentes à IMAP et SMTP
Les opérateurs et les éditeurs mettent en
place les interfaces qu’ils souhaitent.
(respect des exigences de la CNIL et de
l’agrément HDS)
L’ASIP Santé publiera sur le portail MSSanté les interfaces clientes
standards exposées par chaque opérateur afin d’aider les éditeurs et leurs
utilisateurs à vérifier la compatibilité de leur logiciel avec les interfaces
proposées par l’opérateur.

26
Sommaire
Ordres

27
Annuaire
National
MSSanté
► Alimenté par les
opérateurs
► Recense l’ensemble
Boites aux lettres
des utilisateurs
(nom, profession,
identifiant RPPS ou
Adeli…)
Interfaces d’accès à l’Annuaire National MSSanté

28
Quels types de Boite aux Lettres (BALs) ?
BAL nominatives
► Professionnels de santé possédant un identifiant national
N° RPPS/ADELI
► Professionnels de santé sans RPPS ni ADELI
(PS étranger, PS en formation) sous responsabilité de l’ES
« autorité d’enregistrement »
BAL organisationnelles, non nominatives
► BAL de service
• ex : pneumologie@ch-XY.mssante.fr
• ex : secretariat-cabinetXX@operateurX.mssante.fr
• ex : cabinet-dr-martin@domaine-securise.fr
BAL applicatives
► BAL pour les automates
• ex : labo-bio@ch-XY.mssante.fr
• ex : dispositif_médical_XYZ@domaine-securise.fr
@
@
@SIL (SI Laboratoire)

29
Spécificités des BALs MSSanté
► Possibilité pour un utilisateur d’être inscrit en « liste rouge »
► Possibilité pour un utilisateur de publier son numéro de téléphone
► Choix de l’utilisateur concernant son acceptation du « zéro papier »
L’opérateur MSSanté doit obligatoirement être en mesure de gérer
le cycle de vie des comptes de messagerie de ses utilisateurs,
c’est-à-dire :
► Publier, Modifier, Supprimer dans l’Annuaire National MSSanté les BAL
de chacun de ses utilisateurs.
► Publication de BALs par Web Service en mode Global
(Authentification par certificat logiciel de personne morale délivré par l’ASIP Santé)
Compte rendu d’alimentation

30
Consultation des BALs
Consultation de l’Annuaire National MSSanté
► Deux modalités techniques pour la recherche de correspondants dans
l’Annuaire National MSSanté :
• Le protocole LDAP (interface réservée aux utilisateurs finaux et ne doit pas être utilisée pour
récupérer l’intégralité du contenu de l’annuaire national MSSanté de manière automatisée)
• Un Web Service de recherche spécifique (non disponible actuellement)
Extraction de l’Annuaire National MSSanté (pour les opérateurs)
► Elle contient l’ensemble des BAL MSSanté, tous domaines de messagerie
confondus (A l’exception des BALs sur « liste rouge »)
► Un Web Service permet de récupérer l’extraction (Authentification par certificat logiciel
de personne morale délivré par l’ASIP Santé)

31
Téléchargement des données d’identités
Objectif : Avoir un référentiel PS à jour pour les opérateurs ( et
préparer la publication des BAL MSSanté des utilisateurs finaux des
opérateurs dans l’Annuaire National MSSanté)
Téléchargement des données d’identités
► Données à caractère personnel de personnes physiques des secteurs
sanitaire et médico-social - porteurs et non porteurs de cartes CPS
► Données issues de répertoires nationaux d’identité qui comprennent
notamment les identifiants nationaux
Un Web Service permet de récupérer l’extraction des données
d’identités
► Authentification par certificat logiciel de personne morale délivré par
l’ASIP Santé

32
Sommaire
Ordres

33
Exemples d’architectures
Solution MSSanté distincte du serveur de messagerie
standard

34
Solution unifiée (serveur de messagerie standard +
MSSanté)

35
Solution proxy complémentaire au serveur de messagerie
standard

36
L’Annuaire National MSSanté

37
Sommaire
Ordres

38
Sommaire
• Contexte, démarche, planning
• Espace de confiance, nature des échanges, opérateur de messagerie
MSSanté, le service ASIP Santé pour le compte des Ordres
• Quels bénéfices pour les acteurs ? Quelles stratégies ?
• Interfaces d’accès à l’annuaire national MSSanté pour les opérateurs
• Interfaces : IMAPS/SMTPS & Web Services
• Accès à l’annuaire national MSSanté
V. Démonstrations Mobilité et Thunderbird
DST
DST
DST
Interfaces standard décrites
dans le DST (facultatives)

39
Sommaire
Ordres
• Spécifications du service de l’opérateur ASIP pouvant être implémentées
par d’autres opérateurs

40
DST Clients de messagerie v.0.9.5
Le DST Clients de messagerie présente :
► Le contexte et les principes d’accès au service de messagerie de l’opérateur ASIP
Santé
► Les spécifications techniques permettant d’interfacer un client de messagerie
avec le service de messagerie de l’opérateur ASIP Santé
Ces spécifications techniques ne s’imposent pas aux autres opérateurs de
l’espace de confiance MSSanté
► Les opérateurs peuvent reprendre les spécifications du DST pour faciliter
l’interfaçage des clients de messagerie avec leur service
► Les opérateurs et éditeurs sont libres de mettre en œuvre tout autre protocole de
messagerie conforme aux exigences réglementaires, y compris des protocoles
propriétaires

41
Rôles d’un client de messagerie dans le système MSSanté
Rôles d’un client de messagerie MSSanté
► Réaliser les tâches de messagerie classiques (envoyer, recevoir et stocker des
courriers électroniques)
► Effectuer certaines tâches d’administration et de gestion de
messagerie (Gestion de dossiers personnels, Filtrage des courriers entrants…)
► Permettre la recherche de PS dans l’Annuaire National MSSanté
► Les clients MSSanté ne nécessitent pas d’homologation

42
Interopérabilité des échanges de données de santé structurées
Les clients de messagerie et les échanges de pièces jointes
standardisées
► Le système MSSanté favorise l’interopérabilité des échanges de données
structurées entre applicatif
• L’émetteur et le destinataire du message doivent disposer d’une adresse mail sur un domaine
de messagerie appartenant à l’espace de confiance MSSanté.
► Le Cadre d’interopérabilité (CI-SIS) – Volet « Echange de Documents de Santé»,
définit les modalités d’échanges de documents de santé via la messagerie
électronique sécurisée
• Echange de pièces jointes standardisées sur la logique du profil IHE-XDM (pour les destinataires dont le
client de messagerie ne sait pas gérer le format XDM, une pièce jointe PDF pourra être ajoutée en plus de la
pièce jointe XDM)
► Les échanges XDM pourront être réalisés avec un identifiant patient qui ne sera
pas nécessairement l’INS

43
Sommaire
Ordres

45
Les interfaces d’accès au service de messagerie de l’Opérateur
ASIP Santé
L’opérateur ASIP Santé standardise 2 modalités
d’accès du client de messagerie à son service de
messagerie
► Les protocoles standards de messagerie : SMTP
(émission de messages) et IMAP (réception / gestion
des messages) sur TLS
► Un catalogue de Web Services offrant des
possibilités équivalentes à IMAP et SMTP
L’opérateur ASIP dispose également de deux interfaces
propriétaires :
► Un webmail
► Un accès mobilité
DST

46
Protocoles standards de messagerie : SMTP et IMAP sur TLS
Accès au service par les protocoles classiques de messagerie
► Pour les transactions utilisant les protocoles SMTP et IMAP sur TLS, le seul
moyen d’authentification possible est la carte CPS
► Une authentification forte de l'utilisateur via l'établissement d'une session TLS
avec présentation du certificat d’authentification CPS est requise
► Le serveur contrôle les opérations de messagerie autorisées à l'utilisateur sur
un compte de messagerie via l’identifiant (login) présenté
► Les protocoles SMTP et IMAP sur TLS permettent d’assurer l’identification et
l’authentification réciproque du client et des serveurs et d’assurer la
confidentialité des échanges

47
Web Services de messagerie
Accès au service de l’opérateur ASIP santé par Web Services
► L’accès à ces Web Services se fait par une authentification préalable, matérialisée par
l’obtention d’un jeton d’authentification (assertions SAML 2.0) selon le profil SAML ECP
► L’opérateur ASIP Santé propose les modes d’authentification suivants, non limitatifs :
• une authentification par carte CPS (via l’établissement d’une connexion TLS symétrique),
• identifiant, mot de passe et code d’accès à usage unique transmis par SMS ou email
Le catalogue est composé de plusieurs transactions de Web Services SOAP,
regroupées en 5 grands domaines
► Services de consultation et gestion des dossiers
► Services envoi et gestion de messages
► Services envoi et consultation des pièces jointes
► Services consultation et recherche de messages
► Service de recherche de BAL correspondant à un Professionnel de Santé

48
Sommaire
Ordres
• Interfaces : IMAPS/SMTPS & Web Services

49
Consultation de l’Annuaire National MSSanté
La recherche de correspondants dans l’Annuaire National MSSanté
peut être exécutée selon plusieurs modalités techniques, en
utilisant au choix :
► Le protocole LDAP
• Utilisation de la fonction LDAP Search - les commandes de recherche LDAP envoyées par
le client de messagerie doivent être conformes aux standards
• Les champs standards LDAP communément utilisés dans les clients de messagerie du
marché sont utilisés pour tous les critères de recherche correspondant aux données de
l’annuaire national MSSanté afin de faciliter son usage dans ce type de logiciel
• Pas d’authentification requise
• Numéro de téléphone (le cas échéant) non publié
• Interface réservée aux utilisateurs finaux et ne doit pas être utilisée pour récupérer
l’intégralité du contenu de l’annuaire national MSSanté de manière automatisée
► Un Web Service de recherche spécifique (non disponible actuellement)

50
Sommaire
Ordres

51
Modalités de tests / Plans de tests
Environnements de tests proposés par l’ASIP Santé
► L’opérateur ASIP Santé prévoit de fournir un environnement de tests
exposant les 2 interfaces d’accès à son service de messagerie
• SMTP / IMAP sur TLS
• Web Services de messagerie
► Les modalités d’accès et les fournitures associées sont en cours de
mise au point
► L’ASIP Santé prévoit de fournir un Annuaire National MSSanté de tests
proposant les différentes interfaces Web Services en mode
« répondeur »
• Web Services Alimentation / Consultation de l’annuaire national pour les opérateurs
• Web Service de téléchargement des identités

Merci de votre
attention
Mail : msscompatibilite@sante.gouv.fr

2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (17)

Similar a 2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"

Similar a 2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx" (20)

Más de ASIP Santé

Más de ASIP Santé (20)

Último

Último (9)

2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"