FAQ de l'offre : Moyens d'identification électroniques

Les moyens d'identification électronique délivrés par un établissement doivent être homologués, au plus tard au 1/01/2026, pour pouvoir être utilisés.
Dans l'attente de cette homologation, ils doivent a minima être conformes aux exigences définies pour les MIE de transition dans les volets dédiés aux professionnels personnes physiques et aux usagers. En cas de non-conformité, ces moyens d'identification électronique ne doivent plus être utilisés à compter du 1/06/2022.

Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

L'homologation du moyen d'identification électronique doit être réalisée selon la méthodologie d'homologation de sécurité de l'ANSSI. L'ANS met à disposition des structures de santé un guide dédié à l'homologation des moyens d'identification électronique.
L'ANSSI met aussi à disposition des guides et des documents relatifs à cette homologation de sécurité : https://www.ssi.gouv.fr/entreprise/management-du-risque/homologation-de…

L'homologation d'un moyen d'identification électronique est à la charge de la structure de santé responsable du service recourant à ce moyen, du fait qu'il s'agit de l'entité responsable de traitement au sens du RGPD et qu'elle doit évaluer le niveau de sécurité dans son propre contexte.
Certaines structures peuvent donc être amenées à homologuer un moyen d'identification électronique qu'elles ne délivrent pas elles-mêmes, mais qui sont utilisables (par des personnels externes par exemple) pour accéder à l'un de leurs services.
Les structures de santé peuvent bien entendu faire appel à des prestataires de services avec une expertise pour les accompagner dans cette démarche.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS. L'homologation a pour objectif de s'assurer de la satisfaction des exigences du référentiel et de l'absence de risques résiduels inacceptables. Elle est à réaliser au plus tard pour le 1er janvier 2026.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS.
L'homologation est alors obligatoire et à réaliser au plus tard pour le 1er janvier 2026, sous peine de devoir interdire le moyen d'identification électronique non homologué.

L'audit interne exigé dans le cadre de l'homologation de sécurité peut être réalisé par toute personne ou équipe d'audit disposant des compétences SSI en adéquation avec le sujet et le niveau de sécurité requis. Il peut s'agir d'une équipe interne à la structure ou d'un prestataire tiers compétent.

Chaque structure doit tout d'abord vérifier si elle est concernée par le référentiel en identifiant l'ensemble des services numériques en santé dont elle est responsable, et en étudiant le périmètre application pour chaque catégorie d'utilisateurs de ces services.
En synthèse, les premières obligations depuis le 1/06/2022 sont :
- Volet ASPP : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs sauf pour un accès en interne) ;
- Volet ASPM : utiliser des certificats électroniques de l'IGC Santé pour l'identification électronique auprès d'une autre personne morale ;
- Volet Usagers : mettre en conformité les moyens d'identification électronique avec au moins les exigences des MIE de transition (à deux facteurs).
Toutes les structures concernées par le référentiel doivent de plus préparer un engagement de sécurisation de l'identification électronique (intégrant un plan de mise en conformité) pour le 31/05/2023 au plus tard.