Les certificats CPS

Espace Produits de certification | 12 juin 2012

L’ASIP Santé est l’Autorité de Certification du domaine de la santé. A ce titre, elle délivre des certificats électroniques à tous les acteurs du domaine, notamment les professionnels de santé et les établissements de santé.
Un certificat électronique est un fichier informatique contenant des informations sur son propriétaire et qui sont certifiées par un tiers de confiance appelé Autorité de Certification.
Un certificat électronique est équivalent à une carte d'identité numérique qui sera utilisé dans le monde dématérialisé. Il pourra être utilisé par exemple pour garantir l’identité d’une entité physique ou morale. Les certificats électroniques permettent également d’échanger de manière sécurisée en mettant en œuvre des mécanismes de chiffrement (ou cryptage).

Toutefois, toutes les applications ne sont pas en mesure d’accepter les certificats comme moyen d’authentification. Il faut que le promoteur de l’application s’assure que sa solution informatique est capable de solliciter les ressources cryptographiques locales ou distantes impliquées dans la mise en œuvre des mécanismes de sécurité.

L'ASIP Santé garantit la confiance dans les échanges et le partage de données de santé grâce à la mise en œuvre d’une Infrastructure de Gestion de Clés (IGC) qui :
  • respecte des procédures rigoureuses de recueil des données d’identification professionnelle qui mettent en jeu les autorités compétentes (Ordres, Délégations territoriales des ARS, CPAM, Directeurs d’établissements de santé, …),
  • émet des certificats électroniques délivrés aux professionnels de santé, qui constituent des pièces d’identité électroniques matérialisées par les cartes CPS,
  • assure la publication de ces certificats dans un annuaire et la prise en compte de leur révocation, signalée aux applications utilisatrices par des listes de révocation de certificats.
    Ces garanties sont précisées dans les « Politiques de certification », indiquant les conditions d’applicabilité d’un certificat pour la communauté de la santé ainsi que les modalités de gestion et d’usage de ce certificat.
En tant qu’Autorité de Certification, l’ASIP Santé émet quatre types de certificats :
  • des certificats de signature destinés à signer électroniquement des données ou des messages ;
  • des certificats d’authentification destinés à garantir l’identité des porteurs notamment dans des opérations de contrôle d’accès à des logiciels ou des services en ligne;
  • des certificats de confidentialité pour permettre le chiffrement des données ou des messages ;
  • des certificats de serveur pour garantir l’identité de serveurs applicatifs tels que des sites WEB ou des serveurs de messagerie.
Les informations certifiées par l’ASIP Santé sont notamment :
  • l’identité du propriétaire du certificat ;
  • l’identité de l’émetteur du certificat (dans le cas du secteur santé, c’est l’ASIP Santé) ;
  • les dates de début et de fin de validité du certificat ;
  • une clé cryptographique (clé publique) que chacun pourra utiliser pour vérifier un message chiffré et/ou signé par le propriétaire du certificat.
LES CERTIFICATS SERVEUR :
Les certificats serveurs permettent, dans le cadre de la sécurisation des échanges d’informations médicales :
  • soit une authentification du serveur par l’utilisateur connecté à celui-ci ;
  • soit la signature de données ou de messages vers des destinataires via une messagerie électronique par exemple ;
  • soit la réception de fichiers ou de données sécurisés émis par un utilisateur distant.
A l’aide d’un certificat sur le serveur et d’un certificat associé à l’utilisateur (comme celui d’une carte CPS) une authentification réciproque peut être réalisée ce qui permet par exemple d’établir une sorte de tunnel sécurisé entre le poste de travail distant et le serveur.
Il existe actuellement deux types de certificats serveurs émis par l’ASIP Santé :
  • d’authentification, appelé certificat SSL, principalement utilisé pour authentifier le site WEB vis-à-vis d’utilisateurs connectés ;
  • de signature et de chiffrement : appelé certificat S/MIME car pouvant être destiné à des serveurs de messagerie électronique.
D'autres types de certificats logiciels sont en cours de définition par l'ASIP Santé :
  • des certificats de personnes morales destinées à certifier l'identité des structures et organisations
  • des certificats logiciels de personnes physiques qui visent à améliorer l’utilisation de solutions de sécurité dans des contextes de mobilité.
Documents pdf associés aux certificats logiciels :

Documents PDF associés à l’IGC des cartes de la famille CPS :