Vous pouvez effectuer votre recherche en saisissant un mot-clé ou en activant les filtres proposés.
67 questions / réponses
67 questions / réponses
[ Date de mise à jour :
]
Les groupements hospitaliers de territoires (GHT) sont amenés à interconnecter leurs systèmes d'information.
Dans ce contexte, le référentiel d'identification électronique considère le GHT comme une seule entité :
- Dans le volet Acteurs de santé personne physique, l'accès d'un professionnel d'un GHT est considéré comme local dès lors qu'il est réalisé depuis le système d'information de l'un des établissements du GHT ;
- Dans le volet Acteurs de santé personne morale, un service numérique ouvert uniquement à des applications ou serveurs sous la responsabilité d’autres établissements du même GHT n’est pas considéré comme un service partagé.
Dans ce contexte, le référentiel d'identification électronique considère le GHT comme une seule entité :
- Dans le volet Acteurs de santé personne physique, l'accès d'un professionnel d'un GHT est considéré comme local dès lors qu'il est réalisé depuis le système d'information de l'un des établissements du GHT ;
- Dans le volet Acteurs de santé personne morale, un service numérique ouvert uniquement à des applications ou serveurs sous la responsabilité d’autres établissements du même GHT n’est pas considéré comme un service partagé.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
La transmission d'un code OTP par SMS présente plusieurs vulnérabilités :
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
L'identification électronique d'un professionnel de santé avec un login/mot de passe est tolérée pour une connexion locale au SI jusqu'au 1/01/2026 au plus tard, en tant que moyen d'identification électronique de transition. Des mesures complémentaires doivent toutefois être implémentées pour renforcer la sécurité dans ce cas : limitation du nombre de tentatives d'authentification possibles, complexité minimale du mot de passe, etc. La connexion à distance au SI, par exemple en télétravail ou depuis un réseau public ou externe, nécessite une authentification à deux facteurs.
A partir du 1er janvier 2026, le simple login/mot de passe ne sera plus conforme au référentiel, et des moyens délivrés par l'ANS, de niveau substantiel eIDAS ou homologués par la structure de santé devront être employés.
A partir du 1er janvier 2026, le simple login/mot de passe ne sera plus conforme au référentiel, et des moyens délivrés par l'ANS, de niveau substantiel eIDAS ou homologués par la structure de santé devront être employés.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Pro Santé Connect est un fédérateur de fournisseurs d’identité (FI) qui permet à un professionnel de s'authentifier avec une e-CPS ou une carte de la 'famille CPx' (CPS, CPE, etc.). Pro Santé Connect présente une interface au standard OpenID Connect.
Des ressources sont mises à disposition par l'ANS sur son site web :
- https://industriels.esante.gouv.fr/produits-et-services/pro-sante-conne…
- https://gnius.esante.gouv.fr/en/regulations/regulation-profiles/pro-san…
Les éditeurs d'applications ou de services numériques en santé sont par ailleurs incités (référencement, financements, ...) à implémenter le raccordement à Pro Santé Connect afin d'atteindre les objectifs règlementaires fixés aux responsables des services numériques.
Des ressources sont mises à disposition par l'ANS sur son site web :
- https://industriels.esante.gouv.fr/produits-et-services/pro-sante-conne…
- https://gnius.esante.gouv.fr/en/regulations/regulation-profiles/pro-san…
Les éditeurs d'applications ou de services numériques en santé sont par ailleurs incités (référencement, financements, ...) à implémenter le raccordement à Pro Santé Connect afin d'atteindre les objectifs règlementaires fixés aux responsables des services numériques.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Le référentiel impose d'implémenter l'identification électronique des professionnels personnes physiques par Pro Santé Connect sur tous les services numériques sensibles, au plus tard au 1/01/2023.
Même s'il est possible, et conforme au référentiel, de n'autoriser l'identification électronique que par cet unique moyen, ce choix implique des risques en terme de disponibilité (indisponibilité du service central ou des accès réseau) ou d'accessibilité (besoin de terminal mobile et de connectivité réseau 3G/Wifi). La mise en place de moyens d'identification électronique alternatifs permet d'adresser ce type de problématique et aussi de fournir des solutions adaptées en cas d'oubli du téléphone par exemple.
Même s'il est possible, et conforme au référentiel, de n'autoriser l'identification électronique que par cet unique moyen, ce choix implique des risques en terme de disponibilité (indisponibilité du service central ou des accès réseau) ou d'accessibilité (besoin de terminal mobile et de connectivité réseau 3G/Wifi). La mise en place de moyens d'identification électronique alternatifs permet d'adresser ce type de problématique et aussi de fournir des solutions adaptées en cas d'oubli du téléphone par exemple.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Le référentiel d'identification électronique préconise de suivre la méthodologie EBIOS Risk Manager proposée par l'ANSSI, afin de prendre en compte tous les aspects de la problématique et de conserver des résultats intelligibles qui puissent être communiqués aux non spécialistes.
Une présentation de la méthode et des modèles de documents sont fournis par l'ANSSI sur son site : https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-…
Une présentation de la méthode et des modèles de documents sont fournis par l'ANSSI sur son site : https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-…
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Chaque entité responsable d'un service numérique peut homologuer et délivrer des moyens d'identification électronique propres qu'elle sera ainsi en capacité de fournir rapidement en cas de nécessité (nouvel arrivant, oubli, perte...).
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Le référentiel précise que le fournisseur de service devrait accepter plusieurs types de moyens d'identification (par un exemple un moyen homologué local en sus de moyens nationaux comme Pro Santé Connect ou la carte CPS en direct) afin de pallier une indisponibilité ponctuelle de l'un des moyens d'identification électronique. Ceci vaut aussi bien pour le cas d'une indisponibilité du service central d'identification électronique que pour un oubli par le professionnel du moyen d'identification électronique.
Tous ces moyens doivent satisfaire les exigences du référentiel afin de garantir un niveau de sécurité minimal quelles que soient les conditions d'accès.
Tous ces moyens doivent satisfaire les exigences du référentiel afin de garantir un niveau de sécurité minimal quelles que soient les conditions d'accès.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Le service Pro Santé Connect n'a pas encore été certifié par l'ANSSI comme étant de niveau substantiel. Cependant, les mesures de sécurité appliquées lors de la conception et dans l'exploitation du service apportent un niveau de garantie considéré comme satisfaisant.
Cette réponse vous a-t-elle été utile ?
[ Date de mise à jour :
]
Une solution de Single Sign-On (SSO) est conforme au référentiel si les moyens d'identification électronique autorisés pour l'ouverture d'une session avec ce SSO sont eux-mêmes conformes au référentiel. La solution SSO peut ensuite ouvrir des sessions sur des services ou applications dans le périmètre du SSO en utilisant par exemple des login/mot de passe à partir du moment où cette transmission est sécurisée et que le SSO est le seul à pouvoir soumettre ces informations.
Cette réponse vous a-t-elle été utile ?
Retrouvez les informations dans votre espace dédié
-
Professionnel et structure libérale
-
Etablissement de santé
-
Structure médico-sociale
-
Entreprise du numérique en santé
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Retrouvez directement les informations qui vous sont dédiées :
Besoin d’aller plus loin dans vos démarches ?
Centralisez vos démarches, suivez vos demandes et accédez à l’ensemble de vos services ANS depuis votre Espace Authentifié :
Vous souhaitez nous contacter ?
Notre équipe est à votre écoute pour vous assister dans vos démarches.
