FAQ de l'offre : Moyens d'identification électroniques

L’identification électronique des automates ou appareils médicaux connectés (analyses, imagerie…) est considérée hors périmètre du fait des contraintes spécifiques de ces matériels.

Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

Les groupements hospitaliers de territoires (GHT) sont amenés à interconnecter leurs systèmes d'information.
Dans ce contexte, le référentiel d'identification électronique considère le GHT comme une seule entité :
- Dans le volet Acteurs de santé personne physique, l'accès d'un professionnel d'un GHT est considéré comme local dès lors qu'il est réalisé depuis le système d'information de l'un des établissements du GHT ;
- Dans le volet Acteurs de santé personne morale, un service numérique ouvert uniquement à des applications ou serveurs sous la responsabilité d’autres établissements du même GHT n’est pas considéré comme un service partagé.

Le référentiel d'identification électronique préconise de suivre la méthodologie EBIOS Risk Manager proposée par l'ANSSI, afin de prendre en compte tous les aspects de la problématique et de conserver des résultats intelligibles qui puissent être communiqués aux non spécialistes.
Une présentation de la méthode et des modèles de documents sont fournis par l'ANSSI sur son site : https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-…

Le responsable d'un service numérique en santé est libre d'autoriser ou non une identification électronique indirect sur son service, et le cas échéant les exigences de sécurité associées. Ce choix doit tenir compte de la sensibilité des données traitées et du contexte d'utilisation.
Le responsable d'un service numérique autorisant l'identification électronique indirecte, via un service intermédiaire, peut demander pour son information l'engagement de sécurisation de l'identification électronique établi par la structure responsable du service intermédiaire (partie A).

Le référentiel d'identification électronique (volet acteurs de santé personnes morales) décrit les exigences minimales à respecter dans le cadre d'une authentification indirecte, c'est-à-dire une authentification sur un service numérique réalisé pour le compte d'un acteur de santé par l'intermédiaire d'un service tiers appelant accédé par cet acteur.
Toutefois le responsable du service numérique en santé reste libre de définir les conditions qu'il juge nécessaire pour permettre un accès sécurisé au vu de l'analyse des risques associés à ce service, dans la mesure où les exigences minimales décrites dans le référentiel d'identification électronique sont a minima satisfaites. Par exemple, il peut choisir d'imposer une authentification forte de l'acteur de santé au service appelant s'il estime que cela est nécessaire pour garantir la sécurité de l'accès à son service. Il peut également décider de restreindre l'accès à son service à certains services appelants.

Dans le cadre du Ségur numérique programme SONS, des exigences sont en cours de définition à destination des éditeurs concernant notamment la mise en conformité avec le référentiel d'identification électronique.
Les structures peuvent obtenir des financements lorsqu'elles mettent en oeuvre des solutions référencées Segur.
En particulier, les DPI référencés Segur mettront à disponibilité les services nécessaires aux structures pour leur mise en conformité.

L'ANS propose de consulter en détail la présente Foire Aux Questions concernant le référentiel d'identification électronique, et renvoie les personnes intéressées aux webinaires déjà disponibles consacrés aux trois volets du référentiel.
L'ANS met de plus à disposition sur son site un formulaire de contact permettant en particulier de faire remonter des remarques concernant les référentiels de la PGSSI-S.

L'ANS met à disposition sur son site différents vecteurs de support aux structures de santé devant appliquer ses référentiels : Guides associés aux documents de la PGSSI-S, webinaires, foire aux questions, …
A consulter sur : https://esante.gouv.fr/ et https://industriels.esante.gouv.fr/

Le référentiel d'identification électronique s'adresse conjointement :
- aux structures de santé et aux professionnels de santé responsables d'un service numérique en santé, devant appliquer le référentiel pour l'accès à ces services
- aux structures de santé qui délivre des moyens d'authentification aux utilisateurs de services numériques en santé, chargées de vérifier l'adéquation de ces moyens avec les exigences du référentiel
- aux professionnels de santé qui se connectent à des services numériques en santé couverts par ce référentiel, en tant qu'utilisateurs devant employer des moyens d'authentification conformes.