Dans le cadre d'une candidature PCI, il est considéré comme conforme que le DMN propose de suspendre temporairement les alertes de non-transmission de données, à condition que cette suspension soit limitée à une période spécifiquement définie, qu’elle soit utilisée à des cas d’usage spécifiques et justifiés, et que la réactivation des alertes se fasse de manière automatique à l'issue de cette période.

Pour obtenir des produits de certification de test (cartes CPS et certificats de test) émis par l'IGC-Santé, il suffit de suivre deux étapes :

ÉTAPE 1 - Phase administrative

Vous souhaitez commander des cartes CPS de test et/ou enregistrer des habilitations pour les certificats logiciels de test ? Pour cela vous pouvez :

• consulter notre offre complète de produits ;
• passer une commande pour cela : veuillez compléter et envoyer par email le formulaire de commande de moyens d'identification électronique de test (F414) ou réaliser la démarche en ligne ;
• pour information : une carte de test s'oppose au bout de 3 ans.

ÉTAPE 2 - Phase technique 

Utilisez la carte habilitée lors de l'étape 1 pour interagir avec la Plateforme de confiance IGC-Santé : vous pourrez en toute autonomie commander, retirer, suivre ou révoquer vos certificats de test en utilisant l'interface IHM ou l'interface Web Service. 

Pour cela, assurez-vous que la carte de test avec laquelle vous souhaitez réaliser l'opération est bien insérée dans votre lecteur de cartes, puis accédez au portail web de la Plateforme de confiance IGC-Santé. 

Consultez notre documentation de mise en œuvre spécifique :

Ce logiciel permet l'interfaçage entre des applications informatiques telles que le Portail médecins Vivoptim et la carte CPS.

Les infrastructures de gestion de clés (IGC) dédiées au secteur santé respectent des procédures rigoureuses de recueil des données d’identification professionnelle avec les autorités compétentes (autorités d’enregistrement du RPPS, etc.).  

Elles émettent des certificats électroniques logiciels ou des certificats électroniques confinés dans les cartes de la famille CPS. 

Enfin, elles assurent la publication de ces certificats et la prise en compte de leur révocation, signalée aux applications utilisatrices par des listes de révocation de certificats.  

Deux enjeux majeurs sont associés à la mise en œuvre de l’IGC-Santé :  

• assurer la sécurité des clés privées et des certificats émis par l’ANS : il faut veiller à limiter l’accès à ces clés privées et qu’elles ne puissent pas être dupliquées ni installées sur plusieurs équipements ;
• assurer la continuité de service : de nombreuses applications de santé utilisaient les certificats émis par les deux anciennes IGC-CPS, qui ne sont plus actives depuis Janvier 2021. Elles doivent prendre en compte les nouveaux certificats émis par l’IGC-Santé.  

En plus, les certificats émis par l’IGC-Santé respectent les règles habituelles de sécurité (analyse de risque, politique de sécurité), les "Politiques de Certification", et ils sont conformes aux référentiels de la PGSSI-S.

Un utilisateur est capable de gérer les permissions des comptes utilisateur qui lui sont rattachés directement ou indirectement.

Il n’est pas possible d'administrer soi-même la liste des produits auxquels l’on a accès. Pour modifier la liste des produits auxquels vous avez accès, il est nécessaire d’en faire la demande à votre responsable.

Un utilisateur est effectivement capable de supprimer les comptes des utilisateurs qui lui sont rattachés.

Pour supprimer le compte d'un utilisateur, il est d'abord nécessaire de rattacher à un autre compte utilisateur les produits dont il est le responsable. Une fois que le compte de l'utilisateur n'est responsable d'aucun produit, la suppression peut être réalisée depuis l'espace de gestion des comptes.

Pour pouvoir s’authentifier et accéder au téléservice INSi, il est obligatoire, à l’heure actuelle, d’être doté d’une carte CPx nominative. Trois types de CPx fonctionnent : la CPS, la CPE et la CPF.

Une fois la Cryptolib CPS installée et la WebExtension CPS activée dans Firefox, il est nécessaire d'appliquer la configuration suivante à ce navigateur :

• saisissez about:config dans la barre d'adresse ;
• sélectionnez Accepter le risque et poursuivre ;
• saisissez osclient dans la barre de recherche ;
• positionnez la valeur du paramètre security.osclientcerts.autoload à false.

Afin d’accéder à l’espace privé Convergence, le login à renseigner dans le champ « nom d’utilisateur » de la mire est celui transmis lors de l’inscription. Le login peut être différent de l’adresse mél associée au compte.

Un utilisateur est identifié par un unique login et une unique adresse mél au sein de la plateforme. Il n'est donc pas possible de créer deux comptes avec la même adresse mél ou le même login.
 

Les cartes CPx produites avant décembre 2020  ont une puce sans contact protégée en écriture.

Les nouvelles cartes CPS R3V3 produites depuis décembre 2020 embarquent une puce Mifare Desfire. Ces cartes permettent de stocker des secrets (clé cryptographique pour le protocole Mifare Desfire).

Toutes les informations sont disponibles dans le Guide de mise en œuvre de la partie sans contact des cartes CPx.

Il existe un point de vigilance sur les données que l’on écrit dans la zone de la puce autorisée en écriture.

Il est fortement déconseillé d’utiliser cette zone de la puce autorisée en écriture pour stocker des droits d’accès. L'ANS conseille l’utilisation de l’ANSSI, qui préconise les usages en mode connecté avec un lecteur « transparent » qui ne participe pas au protocole cryptographique lors de l’authentification du badge. Seule l’unité de Traitement Logique (UTL) participe au protocole cryptographique.

L’ANSSI déconseille les configurations avec un badge « intelligent » qui permet une double authentification en coupure avec l’UTL.

Toutes les recommandations sur la sécurisation des systèmes de contrôle d'accès physique et de vidéoprotection sont disponibles dans le guide des "Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection"