Cet article est le second d’une série sur la cybersécurité à découvrir sur le site Evolucare.
Les exigences et les référentiels applicables en matière d’identification sur les systèmes de santé
Dans un contexte où les cyberattaques augmentent de manière exponentielles, et où le secteur de la santé, en pleine transformation numérique, est particulièrement touché, la vague 2 du SEGUR du numérique impose aux établissements de santé de mettre en place, au plus tard au 31/12/2025, une authentification à deux facteurs et des moyens d’identification électronique substantiels au sens du référentiel eIDAS.
Mais concrètement, ça veut dire quoi ?
“eIDAS”, c’est le référentiel européen sur les services électroniques d’identification, d’authentification et de confiance (“electronic Identification Authentication and Trust Services”). Il existe depuis 2014 et définit un ensemble de normes sur les sujets d’identification électronique et de services de confiance sur les transactions électroniques.
En particulier, il définit un échelle de niveau de confiance sur les moyens d’identification électroniques (MIE).
Si on continue le parallèle avec le monde physique, comparez votre carte d’électeur (papier, comportant votre nom et votre prénom), votre permis (papier ou plastique, comportant une photo, votre nom et votre prénom) et votre carte d’identité (plastique, renouvelée tous les 15 ans, comportant une photo récente, votre nom et votre prénom).
Il est possible de vous identifier/”authentifier” avec les trois, mais dans certains cas, plus sensibles, on vous demandera le moyen d’identification le plus sécurisé des trois. Par exemple, dans les communes de plus de 1000 habitants, vous pouvez voter uniquement avec votre carte d’identité, mais pas uniquement avec votre carte d’électeur.
De la même manière les identifiants électroniques peuvent être classés en fonction de la manière dont ils sont générés, remis à leur propriétaire, gérés, repris, et dont ils portent l’authentification : faible, substantiel, élevé.
L’objectif du SEGUR vague 2, pour renforcer la sécurité des systèmes d’information de santé, est donc d’entrainer les acteurs vers des moyens d’identification substantiels, plutôt que faibles.
Pour présenter synthétiquement les MIE “substantiels“, un schéma vaut mieux qu’un long discours :
Les MIE substantiels au sens eIDAS disponibles aujourd’hui sont :
- les cartes CPx (qui présentent aussi l’avantage d’être encore gratuites)
- Les MIE certifiés par l’ANSSI (clés FIDO, comme certaines YubiKeys)
- Les MIE homologués indépendamment via la démarche d’homologation de l’ANSSI (coûteuse en temps et en effort)
- L’authentification via ProSantéConnect
Un calendrier progressif, mais néanmoins ambitieux
Dans le calendrier officiel, il est possible de prévoir une transition progressive, avec des MIE faibles “renforcés” en étape intermédiaire avant le passage vers des MIE substantiels.
Moyens d’authentification électronique autorisés pour les acteurs des secteurs sanitaire, médico-social et social
Toutefois, comme le montreront les articles 3 et 4 de cette série, le projet de mise en œuvre de MIE substantiels est un véritable projet d’établissement, demandant un investissement humain, technique, et monétaire, et notre recommandation est d’arrêter dès maintenant une stratégie de bascule vers des MIE substantiels et de l’authentification double facteur sans étape intermédiaire.
À suivre !
Retrouvez notre série Cyber sur notre site web :
- Maîtriser la Convergence Réglementaire en Mode SaaS (publié le 31 mai)
- Accompagnement des Établissements de Santé vers la Double Authentification (2FA) (publié le 2 juillet)
- Cybersécurité, épisode 1 : identification, authentification, autorisation ! (publié le 21 mai)
- Cybersécurité, épisode 2 : identification en santé, les référentiels (publié le 3 juin)
- Cybersécurité, épisode 3 : déployer les moyens d’identification sécurisée (publié le 9 juillet)
- Cybersécurité, épisode 4 : cadrage d’un projet d’authentification forte (à paraître le 5 août)
Sources
- Exigences SEGUR vague 2
- DSR-HOP-DPI-Va2-Prepublication – §3.2.5, 3.2.6
- REM-HOP-DPI-Va2-Prepublication
- Référentiel d’identification électronique, rendu opposable par l’arrêté du 28/03/2022 – §2.9, 2.10, 4.1.1, 4.4, 4.5
- Référentiel ProSanté Connect, rendu opposable par arrêté du 4/04/2022
- Implémentation de ProSanté Connect obligatoire depuis le 01/01/2023 pour les services numériques sensibles
- Enregistrement au RPPS de tous les professionnels ayant besoin d’accéder aux SNS (via PSC) – Arrêté du 23/09/2022
- Référentiel de sécurité et d’interopérabilité relatif à l’accès des professionnels au DMP, rendu opposable par l’arrêté du 26/10/2023 – §1.6.2
- Recommandations relatives à l’authentification multifacteur et aux mots de passe | ANSSI (cyber.gouv.fr)
- ANS_Référentiel_Identifiant_National_de_Santé_V2.0.pdf (esante.gouv.fr)
- Le règlement “eIDAS” n°910/2014
- Produits et Services Qualifiés par l’ANSSI (cyber.gouv.fr)
- L’homologation de sécurité | ANSSI (cyber.gouv.fr)
- PGSSI-S_Guide_Pratique-Homologation MIE-V1.0 (esante.gouv.fr)
