Cybersécurité, épisode 2 : identification en santé, les référentiels

5 juin 2024
  • Partager cet article :
Cybersécurité établissments de soins

Cet article est le second d’une série sur la cybersécurité à découvrir sur le site Evolucare.

Les exigences et les référentiels applicables en matière d’identification sur les systèmes de santé

Dans un contexte où les cyberattaques augmentent de manière exponentielles, et où le secteur de la santé, en pleine transformation numérique, est particulièrement touché, la vague 2 du SEGUR du numérique impose aux établissements de santé de mettre en place, au plus tard au 31/12/2025, une authentification à deux facteurs et des moyens d’identification électronique substantiels au sens du référentiel eIDAS.

Mais concrètement, ça veut dire quoi ?

EIDAS

“eIDAS”, c’est le référentiel européen sur les services électroniques d’identification, d’authentification et de confiance (“electronic Identification Authentication and Trust Services”). Il existe depuis 2014 et définit un ensemble de normes sur les sujets d’identification électronique et de services de confiance sur les transactions électroniques.

En particulier, il définit un échelle de niveau de confiance sur les moyens d’identification électroniques (MIE).

Si on continue le parallèle avec le monde physique, comparez votre carte d’électeur (papier, comportant votre nom et votre prénom), votre permis (papier ou plastique, comportant une photo, votre nom et votre prénom) et votre carte d’identité (plastique, renouvelée tous les 15 ans, comportant une photo récente, votre nom et votre prénom). 

Il est possible de vous identifier/”authentifier” avec les trois, mais dans certains cas, plus sensibles, on vous demandera le moyen d’identification le plus sécurisé des trois. Par exemple, dans les communes de plus de 1000 habitants, vous pouvez voter uniquement avec votre carte d’identité, mais pas uniquement avec votre carte d’électeur.

De la même manière les identifiants électroniques peuvent être classés en fonction de la manière dont ils sont générés, remis à leur propriétaire, gérés, repris, et dont ils portent l’authentification : faible, substantiel, élevé.

L’objectif du SEGUR vague 2, pour renforcer la sécurité des systèmes d’information de santé, est donc d’entrainer les acteurs vers des moyens d’identification substantiels, plutôt que faibles.

Pour présenter synthétiquement les MIE “substantiels“, un schéma vaut mieux qu’un long discours :

Les MIE substantiels au sens eIDAS disponibles aujourd’hui sont :

  • les cartes CPx (qui présentent aussi l’avantage d’être encore gratuites)
  • Les MIE certifiés par l’ANSSI (clés FIDO, comme certaines YubiKeys)
  • Les MIE homologués indépendamment via la démarche d’homologation de l’ANSSI (coûteuse en temps et en effort)
  • L’authentification via ProSantéConnect

Un calendrier progressif, mais néanmoins ambitieux

Dans le calendrier officiel, il est possible de prévoir une transition progressive, avec des MIE faibles “renforcés” en étape intermédiaire avant le passage vers des MIE substantiels.

Moyens d’authentification électronique autorisés pour les acteurs des secteurs sanitaire, médico-social et social

Toutefois, comme le montreront les articles 3 et 4 de cette série, le projet de mise en œuvre de MIE substantiels est un véritable projet d’établissement, demandant un investissement humain, technique, et monétaire, et notre recommandation est d’arrêter dès maintenant une stratégie de bascule vers des MIE substantiels et de l’authentification double facteur sans étape intermédiaire.

À suivre !

Retrouvez notre série Cyber sur notre site web

Sources

Découvrir Evolucare

Nos partenaires

Nos formations

Evolucare Labs

Expertises et métiers

5

Recherche et Développement

5

Interopérabilité

5

Projets et déploiement

5

Service client & support

5

Qualité et sécurité

5

Fonctions transverses

Recrutement

5

Travailler chez Evolucare

5

Nos offres sur Indeed

5

Nous retrouver sur WTTJ

Médico-Social
5
DUI Handicap
5
EHPAD
5
ARGOSS
5
RH & Planning
5
Gestion
Hébergement HDS

Sanitaire

5

Sanitaire MCO

5

Sanitaire hors MCO

Soins critiques

5
Processus chirurgical
5
Anesthésie
5
Réanimation
Imagerie médicale
5
RIS-PACS-MACS
5
Consoles
5
Diffusion
5
Téléradiologie
5
Modules connectés
Ophtalmologie-IA

Ophtalmologie

Ségur de la santé
5
Le Ségur de la santé et nous
5
Tous les articles Ségur
ESMS Numérique
Sie werden auf die Website OPHTAI.COM der Evolucare-Gruppe weitergeleitet.
You will be redirected to the OPHTAI.COM website of Evolucare Group.
Vous allez être redirigé sur le site OPHTAI.COM du Groupe Evolucare.

Evolucare entdecken

Internationale Strategie

Evolucare Labs

Unsere kompetenzen

5

Produktion

5

Interoperabilität

5

Projekte & Implementierung

5

Kundenservice

5

Qualität - Sicherheit

5

Querschnittsabteilungen

Partnernetzwerk

Arbeiten bei Evolucare

Discover Evolucare

International strategy

Evolucare Labs

Our Expertise
5

Production

5

Interoperability

5

Projects & Deployment

5

Customer service

5

Quality & Safety

5

Cross functions

Our partners
Working at Evolucare

Hospitals / Clinics

Critical Care

5

Surgical Process

5
Anesthesia
5
Intensive Care
Medical Imaging
5
RIS-PACS
5
Consoles
5
Sharing
5
Teleradiology
Ophtalmologie-IA

Ophthalmology

Nursing Home
5

Disabled People

5
Elderly People
5
HR & Scheduling
5
Management

Krankenhause

Intensivpflege

5

Chirurgischen Prozesses

5
Anästhesieakte
5
Intensivstationen
Medizinische Bildgebung
5
RIS-PACS
5
Bildschirm-Konsole
5
Verbreitung
5
Teleradiologie
Ophtalmologie-IA

Ophthalmologie

Sozialer Pflegebereich
5

Behinderungen

5
Ältere Leute
5
Personalwesen
5
Verwaltung