FAQ de l'offre : Moyens d'identification électroniques

Pour gérer vos différents environnement d'intégration, il est possible d'enregistrer sur l'environnement bac à sable plusieurs URLs de redirection différentes

• des URLs de redirection incluant un wildcard à la fin, du type : https://nom-de-domaine.fr/redirection-uri/*
• des URLs en localhost
• des URLs en HTTP

En revanche, nous n'enregistrons qu'une seule URL de redirection pour l'environnement de production (en HTTPS et sans wildcard).

Si vous avez plusieurs sites clients à raccorder sur votre service, vous pouvez utiliser le paramètre state (champ libre échangé entre le FS et PSC) pour stocker des informations sur le site client initiant l'authentification, afin que votre serveur central puisse rediriger l'utilisateur authentifié vers son site d'origine.
 

Pro Santé Connect a implémenté la section sur la déconnexion en cours de spécification dans la norme OpenID Connect : https://openid.net/specs/openid-connect-session-1_0.html#RPLogout

Vous pouvez réaliser une déconnexion fonctionnelle en suivant les recommandations standards d'OpenID et notre documentation technique.

 

Pro Santé Connect gère plusieurs types de données "périssables" lors du déroulé d'une authentification par OpenID Connect. Chacune de ces données possède une durée de vie qui lui est propre, au delà de laquelle elle doit être régénérée. 

Le détail de ces durées de vie est fourni dans la Documentation Technique.

Des exemples de jetons sont publiés ici : Exemples de jetons.

Les moyens d'identification électronique délivrés par un établissement doivent être homologués, au plus tard au 1/01/2026, pour pouvoir être utilisés.
Dans l'attente de cette homologation, ils doivent a minima être conformes aux exigences définies pour les MIE de transition dans les volets dédiés aux professionnels personnes physiques et aux usagers. En cas de non-conformité, ces moyens d'identification électronique ne doivent plus être utilisés à compter du 1/06/2022.

L'homologation du moyen d'identification électronique doit être réalisée selon la méthodologie d'homologation de sécurité de l'ANSSI. L'ANS met à disposition des structures de santé un guide dédié à l'homologation des moyens d'identification électronique.
L'ANSSI met aussi à disposition des guides et des documents relatifs à cette homologation de sécurité : https://www.ssi.gouv.fr/entreprise/management-du-risque/homologation-de…

L'homologation d'un moyen d'identification électronique est à la charge de la structure de santé responsable du service recourant à ce moyen, du fait qu'il s'agit de l'entité responsable de traitement au sens du RGPD et qu'elle doit évaluer le niveau de sécurité dans son propre contexte.
Certaines structures peuvent donc être amenées à homologuer un moyen d'identification électronique qu'elles ne délivrent pas elles-mêmes, mais qui sont utilisables (par des personnels externes par exemple) pour accéder à l'un de leurs services.
Les structures de santé peuvent bien entendu faire appel à des prestataires de services avec une expertise pour les accompagner dans cette démarche.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS. L'homologation a pour objectif de s'assurer de la satisfaction des exigences du référentiel et de l'absence de risques résiduels inacceptables. Elle est à réaliser au plus tard pour le 1er janvier 2026.

Une structure de santé est tenue d'homologuer tout moyen d'identification électronique qu'elle autorise sur l'un de ses services numérique dès lors qu'il ne s'agit pas d'un moyen mis à disposition par l'administration (CPS, e-CPS, ApCV) ou d'un moyen de niveau substantiel eIDAS.
L'homologation est alors obligatoire et à réaliser au plus tard pour le 1er janvier 2026, sous peine de devoir interdire le moyen d'identification électronique non homologué.

L'audit interne exigé dans le cadre de l'homologation de sécurité peut être réalisé par toute personne ou équipe d'audit disposant des compétences SSI en adéquation avec le sujet et le niveau de sécurité requis. Il peut s'agir d'une équipe interne à la structure ou d'un prestataire tiers compétent.