FAQ de l'offre : Moyens d'identification électroniques

Chaque entité est responsable de la réalisation de l'analyse de risques nécessaire au choix et à la spécification des modalités d'identification électronique sur ses services numériques. L'analyse de risque menée dans le cadre d'une AIPD peut se révéler insuffisante si elle ne prend pas en compte les exigences du référentiel d'identification électronique et/ou d'autres problématiques telles que la disponibilité des accès ou l'ergonomie pour les utilisateurs.

Les moyens d'identification électronique délivrés par un établissement doivent être homologués, au plus tard au 1/01/2026, pour pouvoir être utilisés.
Dans l'attente de cette homologation, ils doivent a minima être conformes aux exigences définies pour les MIE de transition dans les volets dédiés aux professionnels personnes physiques et aux usagers. En cas de non-conformité, ces moyens d'identification électronique ne doivent plus être utilisés à compter du 1/06/2022.

Le référentiel d'identification électronique est rendu opposable par arrêté, il engage donc la responsabilité légale de l'établissement.
Les exigences du référentiel d'identification électronique sont échelonnées dans le temps, avec la définition de moyens d'identification de transition, afin de permettre une atteinte progressive du niveau de sécurité visé à terme. Ainsi l'authentification en login/mot de passe reste tolérée temporairement pour un accès en local, et des mesures telles que la mise en place de VPN pour les connexions externes ou le déploiement de SSO permettent une mise en conformité sans remettre en question toutes les applications en production d'un établissement.
Il revient à chaque établissement d'évaluer les risques liés à la sécurité de son SI et aux non-conformités au référentiel afin de définir son plan d'action immédiat et à moyen terme. Ce plan d'action doit être décrit dans "l'engagement sur la sécurisation des modalités d'identification électronique" (formulaire téléchargeable avec le référentiel d'identification électronique) et validé par la direction qui en endosse la responsabilité.

Le référentiel d'identification électronique est rendu opposable par arrêté des ministres chargés de la santé, de l’action sociale et de la défense, conformément au code de la santé publique, Art. L. 1470-1. à Art. L. 1470-6 (arrêté du 28 mars 2022).
Le respect du référentiel d'identification électronique engage dès lors la responsabilité des responsables de traitement assujettis à ce référentiel. En particulier, la Commission Nationale de l'Informatique et des Libertés (CNIL) peut diligenter des audits et sanctionner les établissements pour un défaut d'application du référentiel d'identification électronique.

Les groupements hospitaliers de territoires (GHT) sont amenés à interconnecter leurs systèmes d'information.
Dans ce contexte, le référentiel d'identification électronique considère le GHT comme une seule entité :
- Dans le volet Acteurs de santé personne physique, l'accès d'un professionnel d'un GHT est considéré comme local dès lors qu'il est réalisé depuis le système d'information de l'un des établissements du GHT ;
- Dans le volet Acteurs de santé personne morale, un service numérique ouvert uniquement à des applications ou serveurs sous la responsabilité d’autres établissements du même GHT n’est pas considéré comme un service partagé.

La transmission d'un code OTP par SMS présente plusieurs vulnérabilités :
- interception des SMS sur le réseau téléphonique ;
- interception ou copie du SMS par une application malveillante sur le téléphone du destinataire ;
- transfert de la carte SIM destinatrice par un attaquant ("SIM swapping").
Ainsi l'OTP SMS ne constitue pas un facteur d'authentification sûr. Même associé à un mot de passe, il ne permet pas d'obtenir un moyen d'authentification fiable, et c'est pourquoi il a été abandonné dans le domaine bancaire pour les opérations sensibles.
Un argumentaire relatif aux facteurs d'authentification, et détaillant ce point, est mis à disposition par l'ANSSI : https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentifica…

L'identification électronique d'un professionnel de santé avec un login/mot de passe est tolérée pour une connexion locale au SI jusqu'au 1/01/2026 au plus tard, en tant que moyen d'identification électronique de transition. Des mesures complémentaires doivent toutefois être implémentées pour renforcer la sécurité dans ce cas : limitation du nombre de tentatives d'authentification possibles, complexité minimale du mot de passe, etc. La connexion à distance au SI, par exemple en télétravail ou depuis un réseau public ou externe, nécessite une authentification à deux facteurs.
A partir du 1er janvier 2026, le simple login/mot de passe ne sera plus conforme au référentiel, et des moyens délivrés par l'ANS, de niveau substantiel eIDAS ou homologués par la structure de santé devront être employés.

Pro Santé Connect est un fédérateur de fournisseurs d’identité (FI) qui permet à un professionnel de s'authentifier avec une e-CPS ou une carte de la 'famille CPx' (CPS, CPE, etc.). Pro Santé Connect présente une interface au standard OpenID Connect.
Des ressources sont mises à disposition par l'ANS sur son site web :
- https://industriels.esante.gouv.fr/produits-et-services/pro-sante-conne…
- https://gnius.esante.gouv.fr/en/regulations/regulation-profiles/pro-san…
Les éditeurs d'applications ou de services numériques en santé sont par ailleurs incités (référencement, financements, ...) à implémenter le raccordement à Pro Santé Connect afin d'atteindre les objectifs règlementaires fixés aux responsables des services numériques.

Le référentiel impose d'implémenter l'identification électronique des professionnels personnes physiques par Pro Santé Connect sur tous les services numériques sensibles, au plus tard au 1/01/2023.
Même s'il est possible, et conforme au référentiel, de n'autoriser l'identification électronique que par cet unique moyen, ce choix implique des risques en terme de disponibilité (indisponibilité du service central ou des accès réseau) ou d'accessibilité (besoin de terminal mobile et de connectivité réseau 3G/Wifi). La mise en place de moyens d'identification électronique alternatifs permet d'adresser ce type de problématique et aussi de fournir des solutions adaptées en cas d'oubli du téléphone par exemple.

Le référentiel d'identification électronique préconise de suivre la méthodologie EBIOS Risk Manager proposée par l'ANSSI, afin de prendre en compte tous les aspects de la problématique et de conserver des résultats intelligibles qui puissent être communiqués aux non spécialistes.
Une présentation de la méthode et des modèles de documents sont fournis par l'ANSSI sur son site : https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-…