Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Conformément au Guide d'Intégration DMP, il est nécessaire que le logiciel DRIMBox soit en mesure de s'identifier (via le jeton VIHF et le contenu du lot de soumission) et de s'authentifier (via le certificat de signature du lot de soumission) auprès de l'environnement DMP dans un contexte d'alimentation.

Trois modes d'authentification/identification sont ainsi envisageables : 
* Mode EJ : Utilisation du FINESS de l'entité juridique associée à la DRIMBox dans le cadre de l'identification. Utilisation du certificat de l'entité juridique associée à la DRIMBox dans le cadre de l'authentification. L'implémentation du mode EJ au sein du logiciel DRIMBox est cependant fortement déconseillée par le Guide d'Intégration DMP, car celui-ci sera à terme désactivé. 
* Mode EG : Utilisation du FINESS de l'entité géographique associée à la DRIMBox dans le cadre de l'identification. Utilisation du certificat de l'entité géographique associée à la DRIMBox dans le cadre de l'authentification.
* Mode EJ/EG : Utilisation du FINESS de l'entité géographique associée à la DRIMBox au sein des lots de soumissions envoyés à l'environnement DMP. Utilisation du FINESS de l'entité géographique ou juridique associée à la DRIMBox au sein des jetons VIHF transmis à l'environnement DMP. Utilisation du certificat de l'entité juridique associée à la DRIMBox dans le cadre de l'authentification.

Concernant le processus de création d'un document KOS associé à un examen d'imagerie, la première étape consiste en une récupération d'un compte-rendu d'imagerie par le logiciel DRIMBox, au moyen d'un flux HL7v2 ORU/MDM initié par un système RIS associé. A travers cette transaction, le logiciel DRIMBox aura connaissance du FINESS de l'entité géographique associée à la création du compte-rendu d'imagerie. Ainsi, dans le cadre de l'utilisation du mode d'authentification/identification EJ/EG au sein du logiciel DRIMBox, ce FINESS géographique pourra être mentionné dans le jeton VIHF ainsi que dans le lot de soumission transmis à l'environnement DMP. En revanche, il peut être nécessaire d'implémenter une table de correspondance entre FINESS géographique et FINESS juridique afin d'utiliser un certificat d'entité juridique dans le cadre de l'authentification du logiciel DRIMBox auprès de l'environnement DMP.

Pour plus de précisions concernant ce sujet, les ressources suivantes peuvent être consultées : 
* Guide d'Intégration DMP.
* https://esante.gouv.fr/quels-moyens-didentification-electronique-pour-quels-usages
* https://interop.esante.gouv.fr/ig/hl7v2/trans-cda-r2/mapping.html

Le contenu du Guide d'Intégration DMP ainsi que la définition technique fournie au sein de la spécification projet DRIMBox concernant la transaction d'appel contextuel, initiée par un LPS vers le logiciel DRIMBox, impliquent l'implémentation du mode d'accès "bris de glace" à l'environnement DMP au sein de ces deux types de logiciels (LPS et DRIMBox). En pratique, lorsqu'un professionnel de santé souhaite accéder aux examens d'imagerie d'un patient en situation d'urgence et sans avoir pu récupérer préalablement son consentement, alors le LPS procède à l'émission d'une requête d'appel contextuel vers le logiciel DRIMBox en y mentionnant la valeur "bris_de_glace" associée au paramètre "InformationEtConsentement". Suite à cela, le logiciel DRIMBox doit effectuer un accès à l'environnement DMP en mode bris de glace et adopter le comportement défini au sein des sections 2.2.2 et 3.2.2.1 du Guide d’intégration DMP.

Dans le cadre de la mise à jour d'un document KOS auprès de l'environnement DMP, le logiciel DRIMBox doit construire en amont un jeton VIHF afin de justifier son identification ainsi que son habilitation. Deux cas de figure sont ainsi à distinguer :
 

• Cas d'une mise à jour du document KOS suite à un ajustement du compte-rendu d'imagerie associé : Dans cette situation, le logiciel DRIMBox réceptionne le compte-rendu d'imagerie modifié au moyen d'un flux HL7v2 ORU/MDM initié depuis le système RIS associé. Les informations mentionnées au sein du compte-rendu d'imagerie (structure + utilisateur) sont à utiliser par le logiciel DRIMBox afin de créer un jeton VIHF propre au contexte de mise à jour.

• Cas d'une mise à jour du document KOS suite à un ajustement de contenu de l'examen d'imagerie associé :  Dans cette situation, le logiciel DRIMBox réceptionne l'information de mise à jour depuis le système PACS associé via un flux C-STORE IOCM ou HL7v2 OMI^O23. Les informations mentionnées au sein de l'archive locale du logiciel DRIMBox (précédent lot de soumissions associé au document KOS)  sont à utiliser par le logiciel DRIMBox afin de créer un jeton VIHF propre au contexte de mise à jour.

  
  Pour plus de précisions concernant ce sujet, deux référentiels peuvent être consultés : le volet CI-SIS Transport Synchrone pour Client Lourd et le Guide d’intégration DMP.

L'EntryUUID correspond à un identifiant de ressource, affecté dans un contexte d'enregistrement d'un document au sein de l'environnement DMP. La valeur de cet identifiant est fixée par le DMP lui-même, suite à une publication ou une mise à jour du document en question. 

Dans le cadre de la publication d’un document KOS par la fonctionnalité source d'un logiciel DRIMBox, le lot de soumission envoyé à destination de l'environnement DMP ne doit pas mentionner de valeur pour la métadonnée "XDSDocumentEntry.entryUUID". Suite à la réception de l'acquittement de publication du document KOS au sein de l'environnement DMP, le logiciel DRIMBox n’est pas tenu de sauvegarder l’EntryUUID affecté au document par le DMP.

En revanche, afin d'effectuer un remplacement ou une dépublication d'un document KOS auprès de l'environnement DMP, il est nécessaire d'avoir préalablement connaissance de la valeur de l’identifiant EntryUUID associée du document. Cette valeur peut être récupérée au moyen d'une transaction spécifique (TD3.1b - Recherche d’identifiant technique, telle que définie au sein du Guide d'Intégration DMP). 

De manière générale, il est préconisé de ne pas sauvegarder la valeur de l'identifiant EntryUUID au sein du logiciel DRIMBox après une transaction de publication ou de remplacement d'un document KOS auprès de l'environnement DMP. En effet, celle-ci est susceptible d'évoluer suite à une modification du document effectuée directement depuis l'interface du Web-PS DMP. Ainsi, même si elle est archivée au sein du logiciel DRIMBox, cette valeur ne pourra pas être réutilisée directement sans que l'opérateur ne s'assure au préalable qu'aucune modification intermédiaire du document KOS n'a eu lieu. 

Concernant le contexte d'export de l'archive locale d'un logiciel DRIMBox au format IHE-XDM, les spécifications associées indiquent qu'il est obligatoire de mentionner une valeur d’EntryUUID au sein des lots de soumission composant l'archive (pour plus de précisions, se référer au volet CI-SIS Echange de Documents de Santé). Dans ce cadre, nous préconisons que le logiciel DRIMBox soit en mesure de générer ses propres valeurs d'identifiant EntryUUID, afin de compléter les différents lots de soumission composant l’archive au format IHE-XDM.

Dans le cas d'une architecture composée de plusieurs logiciels DRIMBox d'un même opérateur en hébergement "On Premise" au sein de différents établissements de santé et d'un proxy e-santé mutualisé pour l'intégralité de ces déploiements, il n'est pas nécessaire de démultiplier les commandes de l'ensemble des certificats. En effet, dans ce cas, seul un "Client_ID" attribué par ProSantéConnect et un certificat "ORG_AUTH_CLI" (CN=Client_ID de l'opérateur DRIMbox et OU=idStructure de l'opérateur proxy) sont à implémenter. 

Une fois obtenu, suite à une demande de Datapass effectuée par l'opérateur, l'identifiant Client_ID pourra être intégré à tous les logiciels DRIMBox déployés au sein de l'architecture mentionnée ci-dessus. Cet aspect n'est pas spécifique au projet DRIM-M, il s'agit d'un processus déjà documenté dans le cadre des architectures communautaires utilisant le service ProSantéConnect.

En revanche dans le cadre des interactions effectuées directement entre les logiciels DRIMBox composant l'architecture mentionnée ci-dessus et le service ProSantéConnect (endpoint d'introspection notamment), il est nécessaire de mettre en œuvre un certificat ORG_AUTH_CLI propre à chaque logiciel DRIMbox (CN=Client_ID et OU=SIRET opérateur DRIMbox).

Le corpus documentaire associé au projet DRIM-M spécifie que les différents logiciels DRIMBox déployés doivent effectuer une récupération quotidienne du fichier de liste blanche mis à disposition par l'ANS. Suite à chacune de ces récupérations, le fichier de liste blanche obtenu doit être vérifié afin de prévenir d'éventuelles corruptions de celui-ci. 
Le processus de contrôle du fichier de liste blanche implique une vérification de la signature qui lui est associée . Pour cela, les informations mentionnées au sein du tag "X509Data" du document liste blanche doivent être exploitées. Ces données correspondent aux principales caractéristiques du certificat utilisé afin de signer le fichier de liste blanche ANS. 
Tel qu'indiqué au sein de la spécification projet DRIMBox, nous préconisons l'utilisation de l'outil eSignSanté afin de valider la conformité de la signature associée au fichier de liste blanche ANS (pour plus de précisions concernant cet outil, voir https://github.com/ansforge/esignsante). 
En complément, nous pouvons indiquer que dans le cadre de l'homologation SEGUR vague 2 DRIM-M, une preuve de mise en oeuvre du processus de vérification de la signature est demandée. Dans ce contexte, les informations suivantes peuvent permettre de répondre à certaines interrogations :   
* Autorité à l'origine de l'émission du certificat utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/AC%20TEST/ACI-EL-ORG-TEST.cer. 
* CRL associée au certificat  utilisé pour la signature de la liste blanche de test : http://igc-sante.esante.gouv.fr/CRL/ACI-EL-ORG-TEST.crl. 
* Le certificat à mettre en oeuvre afin de signer la preuve de vérification de la signature associée à la liste blanche de test doit être propre à chaque éditeur de solution DRIMBox. Ainsi, dans le cas où l'outil eSignSanté est utilisé, le fichier de configuration "config.json" doit être complété avec un certificat propriétaire au niveau de la section "proof". 

Le corpus documentaire associé au projet DRIM-M n’impose pas de mise en œuvre d’une fonctionnalité de filtrage IP dans le cadre de l’implémentation du service Healthcheck par les logiciels DRIMBox. 
Cependant, si pour des raisons de sécurité ou autre un éditeur de logiciel DRIMBox souhaite que cette opération de filtrage ait lieu, alors l’implémentation de celle-ci doit inclure une composante flexible afin de pouvoir suivre les évolutions liées au contenu de la whitlelist des adresses IP utilisées par les sondes healthcheck. 
Une mise à jour « dynamique » de la whitelist des adresses IP associées aux sondes healthcheck semble dont être la solution à privilégier. Afin d’implémenter ce processus, nous vous invitons à consulter la page de questions utilisateurs associée au service BetterStack : https://betterstack.com/docs/uptime/frequently-asked-questions/#looking-for-a-machine-readable-list. Il y est notamment indiqué que la whitelist des adresses IP peut être récupérée de manière automatique au format .txt ou .json. Ce fichier mentionne les adresses IPv4 de l'exhaustivité des sondes déployées par BetterStack.
En complément de ces informations, nous pouvons indiquer que dans le cas où un décalage entre la whitelist IP implémentée au sein du logiciel DRIMBox et la whitelist IP mise à disposition par Betterstack conduirait à l’affectation d’un statut « hors service » associé à la DRIMBox au sein de la météo des services ANS, alors l'ANS sera en mesure d’investiguer afin de déterminer si le processus d’actualisation de la whitelist IP est en cause. Dans ce cas, une discussion entre les acteurs institutionnels et l’éditeur de logiciel pourrait avoir lieu afin d’arbitrer cette situation.

Tel qu'indiqué au sein de la spécification projet DRIMBox et précisé par le Guide d'Intégration à l'Espace de Confiance DRIM-M, seule une constatation de l'absence de mention du logiciel DRIMBox au sein de la liste blanche récupérée implique une interruption de service de celui-ci. 
En cas d'indisponibilité de la liste blanche supérieure à 48h (serveur inaccessible ou document récupéré inexploitable), le logiciel DRIMBox conserve la possibilité d'utiliser la précédente version de la liste blanche archivée localement.

Trois phases peuvent être distinguées afin d'assurer la gestion du cycle de vie d'un examen d'imagerie au niveau de l'archive locale associée au logiciel DRIMBox :

1. Dans le cadre de la réalisation d'un examen d'imagerie, un compte-rendu d'imagerie ainsi qu'un ensemble d'images médicales sont produits. Ces informations, une fois envoyées à la fonctionnalité source du logiciel DRIMBox, permettent la création d'un document KOS mentionnant l'ensemble des informations à utiliser afin d'accéder ultérieurement aux images. Une fois le document KOS créé par le logiciel DRIMBox et publié au sein de l'environnement DMP (transaction TD2.1a du Guide d'Intégration DMP), une nouvelle entrée est ajoutée au sein de l'archive locale de la DRIMBox (pour plus de précisions, voir section 4.5.7 de la spécification projet DRIMBox).
2. Dans le cadre d'une modification de contenu d'un examen d'imagerie (suppression/ajout d'images médicales, changement de visibilité du compte-rendu d'imagerie, ou autre), le document KOS associé doit être mis à jour en conséquence par le logiciel DRIMBox et remplacé au sein de l'environnement DMP (transaction TD2.1b du Guide d'Intégration DMP). Une fois la mise à jour effectuée auprès de l'environnement DMP, celle-ci doit également être répercutée au niveau de l'archive locale associée au logiciel DRIMBox. Cet ajustement aura pour conséquence un remplacement du document KOS archivé, ainsi que du lot de soumission associé (fichier METADATA.xml).
3. Dans le cadre d'une dépublication d'un compte-rendu d'imagerie ou en cas de  suppression de l'intégralité des images associées à un examen d'imagerie médicale, alors le document KOS associé doit être dépublié de l'environnement DMP (transaction TD3.3c du Guide d'Intégration DMP). Conformément aux indications fournies en section 4.5.8.1 de la spécification projet DRIMBox, le document KOS sera alors être identifié comme dépublié au niveau du stockage local. L’objet DICOM KOS en tant que tel peut éventuellement être supprimé de la base d’archivage, mais son identification et statut doivent être tracés afin de fournir une réponse précise lors de la demande d’accès aux images qu'il référence. 

Afin de tester l'intégralité des mécanismes de contrôle implémentés par les Solutions DRIMBox candidates au référencement SEGUR DRIM-M, certaines situations "non-passantes" sont intégrées au sein des scénarios de test définis dans ce contexte.

Ces cas d'erreur peuvent résulter de l'exploitation de jeux de données volontairement corrompus ou d'interaction entre la solution DRIMBox et un simulateur présentant un défaut de configuration intentionnel.

Il est donc cohérent que pour ces situations l'utilisateur constate un résultat d'exécution non-passant au sein de l'interface du simulateur/validateur.