FAQ de l'offre : Ségur du numérique en santé

Une authentification sans contact via le standard MiFARE DESFIRE peut constituer un facteur d'authentification.
Pour être conforme, il est effectivement nécessaire de compléter la procédure avec un deuxième facteur d'authentification (un code PIN par exemple).

Il est possible de réaliser une authentification secondaire en mode sans contact pour récupérer une session active.
La carte utilisée pour l'authentification secondaire en mode sans contact doit être la même que la carte utilisée pour l'authentification primaire en mode contact, ce à quoi s'ajoute un code PIN.
Lors de l'authentification secondaire en mode sans contact, l'utilisation d'un code PIN est recommandée.

L'exigence 27 du Référentiel d'Identification Electronique définit les exigences minimales du répertoire d'identité local. Afin de garantir un niveau de fiabilité à l’état de l’art des identités, au 01/01/2024 au plus tard, les structures responsables d’au moins un service sensible, doivent avoir mis en place un répertoire d’identité local dans les conditions suivantes :

• le répertoire d’identité local doit concerner a minima l’ensemble des professionnels de santé de la structure ;
• les processus d’arrivée et de départ de personnel sont formalisés et appliqués dans la gestion des ressources humaines de la structure ;
• le répertoire d’identité local est synchronisé régulièrement avec le référentiel des ressources humaines ;
• lorsqu’une personne est enregistrée dans un répertoire sectoriel de référence, son identifiant national est associé à son identité dans le répertoire local et vérifié au moins tous les 2 ans.

L'exigence 28 du Référentiel d'Identification Electronique (RIE) précise qu'afin de garantir un niveau de fiabilité à l’état de l’art des identités, au 1/01/2025 au plus tard, la mise en œuvre d’une brique de SSO (Single Sign-On) est requise pour les structures qui :

• soit sont responsables de plus de 5 services sensibles,
• soit comptent plus de 5 000 professionnels ayant accès à au moins un service sensible.

Le Référentiel d'Identification Electronique définira une liste de critères prenant en compte les exigences ProSanté Connect sur les fédérateurs d'identité tiers permettant aux structures de s'orienter dans leurs choix de MIE.

La certification HAS des établissements de santé concerne tous les établissements de santé français, publics et privés (https://www.has-sante.fr/jcms/c_411173/fr/comprendre-la-certification-pour-la-qualite-des-soins).

Les établissements et services sociaux et médico-sociaux (ESSMS) font l'objet d'une évaluation différente (https://www.has-sante.fr/jcms/c_2838131/fr/comprendre-la-nouvelle-evaluation-des-essms).

Nous vous invitons à contacter le CRRC(centre régional de ressources cyber) de votre région afin de prendre connaissance de l'offre et des différents services proposés pour réaliser un diagnostic et un exercice de crise. 

Il y a des CRRC dans chaque région. Les contacts des CRRC sont publiés ici : https://esante.gouv.fr/strategie-nationale/cybersecurite/axe-2

L’article L.1111-8 du code de la santé publique dispose que :

« Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet ».

Exemple de cas d'usage : les coffres forts numériques où l'utilisateur peut stocker des données de santé à caractère personnel.

L’hébergement exige une information claire et préalable de la personne concernée par les données de santé hébergées et une possibilité pour celle-ci de s’y opposer pour motif légitime. Il appartient à l'hébergeur de déterminer avec son client dans le contrat HDS les modalités de délivrance de cette information.