Présentation de la CPS4
La carte de professionnel de santé, ou carte CPS, est la carte d’identité professionnelle électronique du secteur de la santé :
- elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester son identité professionnelle et ses qualifications ;
- elle est délivrée par l’Agence du Numérique en Santé qui est le tiers de confiance reconnu et l’autorité de certification désignée du secteur de la santé ;
- elle contient principalement l’identité du porteur, sa qualification professionnelle, et son (ou ses) activité(s) et des certificats électroniques permettant de garantir ces informations ;
- elle sera déployée pour tous les usages à partir du deuxième semestre 2025.
Tout en conservant la continuité de service avec les applications déployées sur le terrain comme l’authentification, la signature de FSE et les accès aux données métier, la CPS4 permet de nouveaux usages en lien avec ses nouveautés techniques.
Pourquoi une nouvelle carte ?
Actuellement, l'Agence du Numérique en Santé (ANS) se prépare donc à déployer la version 4 de la CPS, succédant à la version 3 lancée en 2011. Cette mise à niveau est planifiée entre le second semestre 2024 et le second semestre 2025, afin de répondre aux exigences actuelles et futures en matière de sécurité.
Cette carte bénéficie des dernières avancées technologiques. Elle offre à la fois de nouveaux services, plus de sécurité et est en conformité avec la législation française et européenne.
Afin de maintenir la compatibilité des cartes CPS avec le terrain, la carte CPS4 propose une émulation du volet actuel CPS2ter.
La CPS4, une carte multiple
La CPS4 se présente en trois volets :
- Une application régalienne contact pour les usages métiers : conforme aux standards Européens EN-41921 pour la signature et l’authentification. Ce volet inclus également une émulation CPS2ter pour la gestion des données métier afin d’assurer une compatibilité ascendante et une transition efficace de la carte CPS3 vers la CPS4 (période transitoire de cohabitation des CPS3 et CPS4 sur le terrain).
- Une application DESFire sans contact pour le contrôle d’accès physique / logique.
- Une application FIDO2 pour une authentification forte.
Une compatibilité avec la CPS3
A la mise sous tension de la carte CPS4 dans le lecteur, celle-ci se comporte toujours rigoureusement comme une CPS3. Ceci est un gage de compatibilité avec toutes les applications existantes et notamment avec les applications SESAM-Vitale.
Les applications utilisant les API SESAM-Vitale, l'API CPS et/ou la Cryptolib CPS seront toujours en mesure, sans évolutions, de fonctionner avec la CPS4.
Seules les nouvelles applications, utilisant le nouveau middleware seront en mesure d’activer les nouvelles fonctionnalités.
Un niveau de sécurité adapté
Le Référentiel Général de Sécurité établissant le cadre des échanges dématérialisés entre les usagers et l’administration et défini conjointement par l’ANSSI et la DGME fixe les règles à respecter en fonction du niveau de sécurité visé. S’agissant des données de santé, le niveau visé est le niveau « renforcé » tel que défini dans le référentiel de l’ANSSI. En conséquence, le niveau d’évaluation retenu pour la carte CPS4 est certifiée CC EAL 4+.
Une meilleure conformité aux standards internationaux
La carte CPS4 est conforme aux standards Européens EN-419212.
De meilleures performances
La carte CPS4 utilise un composant dont la technologie plus récente offre de meilleures performances notamment en termes de temps de calcul cryptographique.
De nouveaux usages possibles
La carte CPS4, grâce à ses capacités cryptographiques, permet la mise en œuvre de mécanismes de sécurité indispensables pour la e-santé :
- identification unique de tout professionnel de santé de manière fiable et certifiée au niveau national ;
- authentification des utilisateurs distants : permet de garantir l’identité des professionnels de santé connectés grâce à la saisie de leur code confidentiel et la possession de la carte ;
- signature électronique des transactions et des messages échangés entre professionnels de santé ou avec les patients ;
- chiffrement des messages lors des transmissions sur des réseaux non sûrs.
De nouvelles modalités d’authentification du porteur :
- l’authentification forte en contact avec saisie du code confidentiel reste l’usage classique de la carte ;
- afin d’améliorer l’ergonomie d’usage dans un contexte de mobilité, une authentification simple sans contact est proposée par la carte CPS4 avec la technologie entrante DESFire. Combinée avec une authentification forte initiale en mode contact, ce mode d’utilisation apporte la simplicité recherchée tout en garantissant un niveau de sécurité acceptable ;
- pour les applications requérant un niveau de sécurité moins exigeant, par exemple le contrôle d’accès aux locaux, au parking ou la restauration d’entreprise, l’identification simple sans contact par la lecture d’un numéro de série de composant répond au besoin.
Le même middleware sur le poste de travail du PS
L’accès à la carte sur le poste de travail est réalisé au moyen d’un composant logiciel d’interface appelé "middleware".
L’utilisation de la CPS4 nécessite une mise à jour mineure du middleware actuel. Ce nouveau middleware est compatible ascendant, c’est à dire qu’il gère les CPS3 et CPS4.
Ces composants et les manuels associés sont disponibles sur le portail Industriels de l'Agence du Numérique en Santé.