SystanciaBlogCybersécuritéPGSSI-S | Quels sont les MIE exigés : authentification eCPS & Pro Santé Connect, carte CPx, SSO?

PGSSI-S | Quels sont les MIE exigés : authentification eCPS & Pro Santé Connect, carte CPx, SSO?

Nous avons vu dans un premier article que la PGSSI-S (la Politique Générale de Sécurité des Systèmes d’Information de Santé) concerne tous les professionnels de santé et encadre la manière d’accéder aux données de santé dites « sensibles » avec un calendrier précis de mise en œuvre. Ce nouvel article se concentre sur les types de Moyens d’Identification Electronique autorisés à être mis en œuvre (eCPS & Pro Santé Connect, carte CPx, SSO).   

Quels sont les Moyens d’Identification Electroniques exigés dès maintenant?

Moyens d’Identification Electroniques (MIE) de type Pro Santé Connect

Depuis le 1er janvier 2023, tout fournisseur de service numérique de données sensibles doit savoir gérer l’identification électronique du professionnel de santé via Pro Santé Connect (le fédérateur de fournisseur d’identité) géré par l’Agence du Numérique en Santé.

Pro Santé Connect fournit aujourd’hui 2 types d’authentification : l’authentification via les cartes CPx et l’authentification eCPS (application mobile), qui donne les mêmes droits que la carte CPx. En situation de mobilité, le professionnel de santé peut réaliser l’authentification eCPS, et en situation de travail local, le professionnel de santé peut utiliser sa carte CPS. A terme Pro Santé Connect pourra proposer d’autres moyens d’identification électronique.

Une fois l’authentification électronique faite, Pro Santé Connect transmet l’identifiant national du professionnel de santé, son nom d’exercice, son prénom et l’ensemble des données du répertoire sectoriel de référence du professionnel de santé (extrait du RPPS très souvent). Pro Santé Connect implémente le standard OpenID Connect.

Lorsque le professionnel de santé utilise sa carte CPx, il saisit son code PIN associé à la carte pour être authentifié via Pro Santé Connect.

Moyens d’Identifications Electroniques (MIE) avec les cartes CPx

Les cartes CPx (CPS pour le personnel de santé, CPE pour le personnel d’établissement…) constituent la carte d’identité du professionnel de santé. Elle atteste de ses compétences.

La carte CPx comporte un certificat d’authentification qui est exploité après saisie du code PIN. Ce MIE transmet l’identifiant national ou l’identifiant local du professionnel de santé.

Certaines puces de cartes CPx fonctionnent sans contact. Le mode sans contact ne peut être utilisé que pour un contrôle d’accès physique mais ne constitue pas un moyen suffisant pour servir d’identification électronique et accéder à un service numérique de santé. Il ne pourra être utilisé que dans le cadre d’un MIE homologué ou de transition.

Moyens d’Identifications Electroniques (MIE) homologués

L’homologation d’un MIE revient au fournisseur de service numérique en santé qui détermine les conditions dans lesquelles un professionnel de santé peut accéder aux données de manière suffisamment sécurisée. Le fournisseur de service numérique évalue techniquement la sécurité du dispositif et le mécanisme d’authentification. Cette homologation doit attester que le niveau de sécurité retenu lors de l’identification électronique est suffisant par rapport à l’analyse de risque qu’il aura préalablement effectuée. Cette homologation est à réaliser une fois tous les 4 ans par le responsable du service numérique.

Le MIE doit être conforme à un niveau de garantie substantiel ou élevé du règlement eIDAS et répondre aux 3 conditions suivantes :

  • le MIE utilise au moins 2 facteurs d’authentification de différentes catégories,
  • seul le professionnel peut être en possession de ce MIE,
  • avant la transmission des données d’identification personnelle, une vérification fiable du MIE et de sa validité est faite par une authentification dynamique.    

Dans certains cas d’usage, il n’est pas possible de gérer une authentification à 2 facteurs (service d’urgences, réanimation…). Dans ce cas, le fournisseur de service peut autoriser un seul facteur à condition que les cas d’usage soient formellement identifiés par le fournisseur de service, qu’une analyse de risque ait été faite, qu’une authentification à 2 facteurs ait été réalisée précédemment dans un délai minimal jugé acceptable et que le facteur unique utilisé soit l’un des 2 facteurs utilisés lors de l’authentification à 2 facteurs.

Moyens d’Identifications Electroniques (MIE) certifiés

Dans le cas des MIE certifiés, il n’est plus nécessaire pour le fournisseur de service d’homologuer le MIE. Celui-ci est directement certifié au niveau européen. Des conditions s’ajoutent lors de l’enrôlement en particulier.

Moyens d’Identifications Electroniques (MIE) de transition

Pour élever le niveau de sécurité progressivement, la PGSSI-S accepte l’utilisation de MIE de transition jusqu’au 1er janvier 2026. Ces MIE de transition ont une sécurité de niveau eIDAS faible mais peuvent tout de même amener un niveau de sécurité supérieur à celui réellement implémenté dans la structure qui l’utilise. Ces MIE de transition sont applicables dès maintenant.

Quelles exigences pour ces MIE de transition?

L’identifiant doit être l’identifiant du répertoire sectoriel de référence (RPPS) ou sinon un identifiant privé à l’état de l’art.

Un processus d’enrôlement très encadré est prévu et doit répondre aux différents points suivants.

  1. L’enrôlement de la personne doit se baser sur la vérification de l’identité du professionnel soit via Pro Santé Connect ou FranceConnect ; soit via la vérification de la carte d’identité, numérisée ou non, couplée à une photo de l’utilisateur, à une visio conférence, ou à un face à face physique, soit par l’envoi d’un mail de confirmation sur la boîte MSSAnté.
  2. Les adresses électroniques ou numéro de téléphone mobiles servant au mécanisme d’authentification ou de récupération des MIE, doivent être vérifiés par l’envoi d’un code ou d’un lien d’activation.
  3. L’enrôlement doit vérifier l’existence de la personne dans le RPPS.

Un processus de gestion du MIE est également prévu. Il impose que

  1. Toute modification des informations d’identité initiales n’est possible qu’à condition qu’une nouvelle vérification au moins aussi fiable soit faite.
  2. Un renouvellement régulier du MIE doit être prévu.
  3. Le détenteur et le gestionnaire du MIE doivent pouvoir à tout moment révoquer ce moyen.

Lors d’un accès à distance avec un MIE de transition, l’authentification doit reposer sur 2 facteurs impérativement de type différents : connaissance (mot de passe) / possession (appareil fixe ou mobile)  / biométrie (empreinte digitale stockée et vérifiée sur un matériel possédé par le professionnel).

Les mécanismes acceptables sont :

  • Un badge contenant une puce avec contact associée à un code PIN
  • Un badge contenant une puce sans contact associée à un mot de passe.
  • Une clé de sécurité USB associée à un code PIN ou une empreinte digitale enregistrée sur la clé
  • Un mot de passe associé à un code TOTP généré sur un matériel en possession de l’utilisateur
  • Un mot de passe associé à un code OTP envoyé par SMS sur un terminal en possession de l’utilisateur (déconseillé cela dit),
  • Un mot de passe associé à un code OTP envoyé par mail est écarté sauf si la messagerie est différente de celle qui permet de réinitialiser le mot de passe ou que cette messagerie est sécurisée.  

Enfin il est fortement recommandé que des notifications de connexion soient communiquées à l’utilisateur, qu’elles soient activées par défaut et désactivables par l’utilisateur.

Lors d’une authentification à un accès local, les MIE acceptés sont les MIE à deux facteurs de type différents mais aussi un mot de passe associé à des mesures complémentaires.

Comme précisé précédemment, après une authentification avec un MIE à 2 facteurs, une authentification à un seul facteur peut aussi être acceptée lorsque les conditions d’utilisation d’une authentification à 2 facteurs ne sont pas réalisables en pratique (réanimation, urgence).

Pour un accès local, un mot de passe seul peut être utilisé en respectant les conditions suivantes

  1. Des mesures de restriction d’accès existent : après plusieurs échecs (temporisation d’une minute après 5 échecs, 25 échecs autorisés en 24h) ou un mécanisme empêchant les soumissions automatisées (exemple : captcha) ou un blocage du compte après 10 échecs.
  2. Des critères de construction du mot de passe sont respectés : une entropie de 50 bits doit être atteinte (mot de passe de 8 caractères avec 3 des 4 catégories de caractères (majuscules, minuscules, chiffres et caractères spéciaux) ; ou phrase de passe composée au minimum de 5 mots ; ou mot de passe d’au moins 15 chiffres). L’application de ces règles doit être automatiquement vérifiée lors de l’initialisation du mot de passe ou lors de son renouvellement.
  3. Des mesures de sécurité adaptées au contexte.

A ce titre, un recours ponctuel à un second facteur devrait être envisagé lors de la réalisation d’opération particulièrement sensibles ou lors d’un changement de terminal de connexion, à échéance régulière.

Enfin dans le cadre de session authentifiée, un professionnel de santé peut s’authentifier à une brique de SSO avec un MIE à deux facteurs, il n’est pas obligé de recommencer tout le processus d’authentification pour chaque service numérique dans la mesure où la brique SSO transmet directement au service de manière sécurisée le mot de passe exclusif à ce service géré par la brique SSO. Il en est de même lorsqu’un accès distant de type VPN ou ZTNA repose sur un MIE à 2 facteurs. Dans tous les cas de figure (accès distant, accès local), une déconnexion doit être réalisée après un certain temps d’inactivité.  

La sécurisation de ces MIE de transition devra avoir été relevée d’ici le 1er janvier 2026 pour permettre leur homologation.

Mise en œuvre d’une brique SSO (Single Sign-On)

A partir du 1er janvier 2025, une brique SSO compatible avec le protocole OpenID Connect, sera nécessaire pour les structures qui, soit sont responsables de plus de 5 services sensibles, soit comptent plus de 5000 professionnels ayant accès à au moins un service sensible.  L’intérêt de cette brique SSO est de simplifier l’utilisation au quotidien des services sensibles en évitant de rejouer des doubles authentifications.

La PGSSI-S avec son référentiel d’identification électronique définit un certain nombre d’exigences à respecter de manière échelonnée afin d’élever le niveau de sécurisation des services numériques sensibles. Le but est qu’au 1er janvier 2026, tous les Moyens d’Identifications Electroniques utilisés pour des services sensibles soient de niveau eIDAS niveau substantiel et qu’une brique SSO soit en place pour certains établissements.

Pour aller plus loin, nous vous invitons à visionner le replay de notre webinar qui explique comment démarrer et mettre en œuvre différents outils de manière simple qui vous permettront de répondre dès maintenant à ces différentes exigences.

Publié le 04 mars 2023 par m.aubert@systancia.com m.aubert@systancia.com

Ne manquez pas ces évènements :

Ces articles pourraient vous intéresser :