Résultats de la seconde vague du baromètre de la santé connectée 2024
2013-10-03 ASIP Santé RIR "CPS et dispositifs équivalents : évolution des modalités d’authentification"
1. CPS et dispositifs équivalents
Evolution des modalités
d’authentification
RIR- 3 octobre 2013
3 octobre 2013
2. I- Préambule
- La définition d’un référentiel de sécurité est un des leviers
majeurs de la dématérialisation des données de santé
(référentiel juridique/référentiel technique).
- La dématérialisation des données de santé s’accompagne d’une
évolution des pratiques professionnelles : coordination des soins,
parcours de soins.
- Le référentiel de sécurité doit s’adapter aux nouveaux modes de
pratique et d’exercice médical : mobilité, pluridisciplinarité …
- L’authentification des acteurs de la esanté doit rester un élément
essentiel de la sécurité (patients et professionnels).
3 octobre 2013CPS et dispositifs équivalents 2
3. II- La CPS, les textes et leur articulation
- Initialement, la CPS est créée pour permettre la transmission
électronique de documents dont la feuille de soins (article L161-33 du code
de la sécurité sociale).
- Elle devient ensuite le moyen obligatoire de l’accès aux données de
santé à caractère personnel et de leur transmission par voie électronique
(articles L1110-4 et R1110-3 du code de la santé publique).
- Mais elle n’est plus juridiquement le seul depuis la loi «HPST» du 21
juillet 2009 :
- dispositif équivalent agréé par l’ASIP Santé (article L1110-
4)
- référentiels de sécurité et d’interopérabilité nécessaires à
la détention et au traitement de données de santé à
caractère personnel (article L1111-8 alinéa 4).
Articulation délicate entre la loi, le décret non mis à jour et
l’évolution des pratiques. 33 octobre 2013
4. III- Les principes de l’authentification des
professionnels
- La tenue d’un annuaire alimenté par des identités certifiées en amont par des
autorités d’enregistrement (ordres professionnels) et mis à jour est l’élément
fondateur de toute politique d’identification.
- Pour les professions de santé, ce principe est prévu par la loi et mis en œuvre
depuis 2009 avec le RPPS (numéro RPPS). C’est un élément préalable et
essentiel à la mise en œuvre de fonctions de sécurité tant au niveau national que
local : produits de certification (IGC).
- Cette IGC permet l’émission de certificats électroniques délivrés à des personnes
physiques et à des personnes morales, qui constituent des pièces d’identité
électroniques matérialisables par différents supports dont la CPS.
- Les travaux actuels de la PGSSI sur l’authentification des acteurs de santé
distinguent ainsi l’authentification publique associée à un identifiant de portée
nationale et l’authentification privée associée à un identifiant de portée nationale
ou locale.
3 octobre 2013CPS et dispositifs équivalents 4
5. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
3 octobre 2013CPS et dispositifs équivalents 5
Création BAL ou accès
poste « spécialisé »
Authentification directe
avec carte CPS Carte CPS + Poste configuré CPS +
Lecteur de carte + Code Pin
Accès depuis poste
« banalisé »
Authentification directe
avec OTP (SMS ou
mail) Poste + Code d’accès / mot de passe +
Media de réception de l’OTP + OTP
@ ou
Accès en mobilité depuis
smartphone « privé »
Authentification directe
Push OTP
Smartphone « privé » + Code d’accès /
mot de passe
Accès depuis poste
« banalisé » au sein d’un
domaine privé
Authentification indirecte
Opérateur ES ou tiers
poste du domaine + Code d’accès /
mot de passe + connexion sécurisée
et
Certificat personne
morale
sur proxy d’ES ou
tiers
6. IV- Adaptation des dispositifs aux usages
Illustration avec la MSS
3 octobre 2013CPS et dispositifs équivalents 5
Création BAL ou accès
poste « spécialisé »
Authentification directe
avec carte CPS Carte CPS + Poste configuré CPS +
Lecteur de carte + Code Pin
Accès depuis poste
« banalisé »
Authentification directe
avec OTP (SMS ou
mail) Poste + Code d’accès / mot de passe +
Media de réception de l’OTP + OTP
@ ou
Accès en mobilité depuis
smartphone « privé »
Authentification directe
Push OTP
Smartphone « privé » + Code d’accès /
mot de passe
Accès depuis poste
« banalisé » au sein d’un
domaine privé
Authentification indirecte
Opérateur ES ou tiers
poste du domaine + Code d’accès /
mot de passe + connexion sécurisée
et
Certificat personne
morale
sur proxy d’ES ou
tiers