1. Industriel 
  2. FAQ des industriels

Question/Réponse

Dernière mise à jour le 15 janvier 2026

Dans le chapitre "Gestion des comptes, des permissions et des sessions des administrateurs et des utilisateurs" du Référentiel d'Exigences Minimales (REM), l'exigence SC.SSI/IE.36 est-elle applicable à mon application ?

  1. Quel est le changement principal ?

    Avant : Tout système proposant un mot de passe comme facteur unique d’authentification devait limiter le nombre de tentatives d’accès et appliquer des critères de construction assurant un niveau suffisamment élevé de complexité des mots de passe des PS.

    Maintenant : Cette exigence s'applique uniquement à un système configuré avec la base de compte locale. Lorsque le système ne dispose d’aucune fonctionnalité de gestion de comptes utilisateurs locaux (création, stockage ou vérification de mots de passe) et que l’authentification est entièrement déléguée à un fournisseur d’identité externe (exemple : AD), l’exigence SC.SSI/IE.36 est non applicable.

    Ce changement est lié au fait que la rédaction initiale de l’exigence ne prenait pas en compte des cas d’usage remontés durant la procédure de référencement.

     

  2. Concrètement, qu'est-ce que ça implique ? 

    L'éditeur peut déposer un justificatif expliquant les particularités de développement de l’application et indiquant qu’il n’existe aucune fonctionnalité de base locale de comptes.

     

  3. Quelles obligations pour l’éditeur ?

    Aucune, il s’agit d’une prise en compte de cas d’usage existants.

     

Annexe – Nouvelles versions exigences, scénarios et preuves

Nouvelle version de l’exigence SC.SSI/IE.36

LORSQUE le système propose un mot de passe comme facteur unique d'authentification, ALORS le système DOIT : 

  • permettre d'implémenter les mesures de restriction d’accès et de vérification de complexité des mots de passe prévues par le Référentiel d'identification électronique (volet ASPP) ;
  • être conforme à ces exigences dans sa configuration par défaut.

NB : les administrateurs techniques ou métier ne sont pas concernés par cette exigence

Le système peut généralement se baser :

  • soit sur une base de compte locale
  • soit sur un annuaire (exemple AD)

Cette exigence s'applique à un système configuré avec la base de compte locale.

Nouveau scénario associé à l’exigence SC.SSI/IAM.36

SC.SSI/IE.36.01 :

Vérifier que le système limite le nombre de tentatives d'accès par mot de passe.

Etapes du scénario :

  1. Demander l'ouverture d'une connexion par mot de passe en tant que PS sur un compte valide
  2. Entrer un mot de passe incorrect plusieurs fois consécutives
  3. Montrer que le système empêche de réaliser un nombre illimité de tentatives (temporisations, blocage préventif du compte...) ou qu'il requiert la complétion d'un captcha à chaque authentification

SC.SSI/IE.36.02 :

Vérifier que le système applique les critères de construction du mot de passe du compte du PS.

Etapes du scénario :

  1. Demander la modification ou la création du mot de passe d’un compte de PS   
  2. Entrer un mot de passe de 8 caractères composé uniquement de minuscules et de majuscules
  3. Montrer que le système refuse ce mot de passe
  4. Entrer un mot de passe de 8 caractères composé uniquement de minuscules et de chiffres
  5. Montrer que le système refuse ce mot de passe
  6. Entrer un mot de passe de 8 caractères composé uniquement de minuscules et de caractères spéciaux
  7. Montrer que le système refuse ce mot de passe
  8. Entrer un mot de passe composé de 14 chiffres uniquement
  9. Montrer que le système refuse ce mot de passe

Cette réponse vous a-t-elle été utile ?

Dispositif(s) concerné(s) :
Dossier Patient Informatisé (DPI)
 Thème :
Exigences et preuves

Vous êtes accompagné dans vos différentes démarches

Une FAQ dédiée aux Industriels est à votre disposition

Consultez notre FAQ