FAQ de l'offre : Ségur du numérique en santé

Si le client léger est un navigateur web, alors le navigateur passe par la couche cryptographique service provider du système d'exploitation et du middleware de la carte (cryptolib) pour accéder à la carte à puce.
Si le client léger est un bureau virtuel (citrix ou équivalent), il faut se rapporter au guide d'intégration du middleware CPS (cryptolib) dans un environnement de type Citrix.

Après authentification forte sur le poste, l'accès aux applications sensibles lourdes doit se faire grâce à une brique SSO qui génère un jeton d'authentification. 

Lorsqu'un utilisateur ouvre sa session sur son poste au niveau du système d'exploitation, la preuve d'authentification est relayé au logiciel de SSO et le logiciel de DPI délègue l'authentification de l'utilisateur au logiciel de SSO. Autrement dit, le logiciel de SSO fournit bien une preuve d'authentification au logiciel de DPI. Ainsi, la chaîne d'authentification est garantie. 

Certains lauréats de l'appel à projet HospiConnect Alpha ont demandé aux agences proposant des personnels intérimaires avec lesquels ils travaillent de demander que ces professionnels s'enregistrent au RPPS et aient un MIE compatibles (CPS ou e-CPS) avant leur arrivée dans le centre.
De manière générale, ainsi que pour les intérimaires, il peut être utile d'avoir un stock tampon de MIE locaux que la structure peut paramétrer localement pour être flexible hors du RPPS (cela peut d'ailleurs permettre de gérer les arrivées dans les heures non ouvrées grâce à une permanence du poste de sécurité de l'établissement par exemple).

Les cartes CPS sont gérées par les professionnels eux-mêmes via le Portail maCarte dédié à la gestion de la carte.

En cas de sortie de l'établissement par le professionnel, il repart avec sa carte. En attendant la télémise à jour des cartes, si le professionnel ou l'autorité d'enregistrement met une date de fin à une activité ou déclare une nouvelle activité, une nouvelle carte lui sera envoyée. Avec la télémise à jour, il suffira au professionnel de faire la mise à jour sur sa carte une fois la déclaration faite au RPPS.

En cas de perte, il peut en recommander une auprès de l'ANS.

Le schéma cible proposé par la puissance publique aux structures vise justement à ne pas utiliser le fournisseur d'identité national sectoriel santé ProSantéConnect comme fournisseur d'identité pour les services numériques internes à la structure mais à utiliser un fournisseur d'identité local fédéré avec ProSantéConnect.

Ainsi, les authentifications aux services numériques locaux de la structure reposent sur ce fournisseur d'identité local qui est capable de solliciter le fournisseur d'identité national sectoriel santé ProSantéConnect lorsque l'utilisateur a besoin d'accéder à un service numérique externe à la structure qui nécessite l'utilisation d'une identité nationale.

Pour éviter les oublis de cartes, il peut être utile de multiplier les usages de la carte autre que pour l'authentification. Ainsi, le professionnel sera empêché de réaliser d'autres actions utiles à son travail quotidien, ce qui ancrera davantage la carte dans les pratiques quotidiennes.

L'ensemble des informations répondant à cette question ont été abordées lors du webinaire du 20 novembre 2024 (notamment sur les diapositives 30 et 31). Le support de présentation ainsi que le replay sont disponibles en suivant ce lien.

ProConnect n'est pas un fournisseur d'identité sectoriel des métiers de la santé. D'une part, si ProSantéConnect s'interfaçait avec ProConnect, les professionnels enregistrés dans le référentiel ProConnect n'auraient pas accès aux téléservices de santé (services sensibles). D'autre part, les professionnels devraient s'authentifier avec un MIE compatible avec ProSantéConnect.  

Dans le cadre de l'évolution de l'offre de service d'identification électronique de l'ANS, le service d'enregistrement national offrira une API permettant une intégration de l'enregistrement national dans le système d'information local. Dans ce contexte, les professionnels relevant d'un enregistrement  par l'employeur (professionnel à rôle) pourront être enregistrés au RPPS via API sous réserve de la qualité des traits d'identité fournis par l'établissement en entrée.