Actualité

Numérique en santé : publication du référentiel de sécurité relatif à l'identification électronique

PARIS, 1er avril 2022 (APMnews) – Un arrêté publié vendredi au Journal officiel porte approbation du référentiel relatif à l’identification électronique des acteurs des secteurs sanitaire, médico-social et social et à l’identification électronique des usagers des services numériques en santé.

Ce référentiel définit des exigences sur les connexions à des services numériques traitant des données de santé.

« Concrètement, cela consiste notamment à imposer l’utilisation de mots de passe suffisamment forts, des seconds facteurs d’authentification (code à usage unique, etc.) et à se baser sur des informations d’identification des utilisateurs vérifiées et issues des répertoires de référence (INS, RPPS, Finess) », explique l’Agence du numérique en santé (ANS), « responsable de la définition et de la promotion » de la politique générale de sécurité des systèmes d’information de santé (PGSSI-S), sur son site.

Il comporte trois volets, relatifs à:

  • l’identification électronique des acteurs des secteurs sanitaire, médico-social et social, applicable aux personnes physiques
  • l’identification électronique des acteurs des secteurs sanitaire, médico-social et social, applicable aux personnes morales
  • l’identification électronique des usagers du système de santé.

Ces trois volets du référentiel sont consultables sur le site de l’ANS.

Le référentiel décrit des paliers successifs à atteindre, entre le 1er juin 2022 et le 31 décembre 2025, qui revêtent un caractère « obligatoire » pour les acteurs de santé.

Globalement, pour les usagers du système de santé, le référentiel « promeut l’usage de FranceConnect, désormais également accessible aux fournisseurs de services numériques privés et qui intégrera la future application carte Vitale (ApCV), et impose dès le 1er juin 2022 une authentification à deux facteurs ».

Concernant les professionnels de santé, il promeut ou impose à partir du 1er janvier 2023 pour les services dits « sensibles », « l’implémentation de Pro Santé Connect, téléservice permettant de se connecter via les moyens d’identification électroniques fournis gratuitement par la puissance publique [application mobile e-CPS et les cartes CPS] ».

« Cela permet aux professionnels d’utiliser toujours la même méthode de connexion pour les différents services qu’ils sont amenés à utiliser », rappelle l’ANS.

Le référentiel « permet également l’utilisation d’autres moyens de connexion locaux, délivrés par les structures à leur personnel ou par les services numériques à leurs utilisateurs ».

« Des exigences leur sont néanmoins fixées à court terme’, au 1er juin 2022, « par exemple l’implémentation d’une authentification à deux facteurs pour les accès à distance, qui permet de se prémunir contre des utilisations frauduleuses. En effet, ces accès ont parfois été impliqués dans des violations de données constatées ces dernières années. »

« D’ici à 2026, pour continuer d’être utilisés, ces moyens d’identification électronique locaux devront être homologués par les structures ou services, ou qualifiés par l’Anssi [Agence nationale de sécurité des systèmes d’information] », souligne l’agence ministérielle.

Ce référentiel « est le premier chapitre de la PGSSI-S à être rendu opposable par arrêté ministériel », se félicite également l’ANS.

L’arrêté entrera en vigueur le 1er juin 2022.

(Journal officiel, vendredi 1er avril, texte 34)

Aller au contenu principal