Qu’est-ce qu’un certificat logiciel ?
Un certificat logiciel est un fichier informatique qui joue le rôle de pièce d'identité numérique. Il permet d'attester de manière sécurisée l’identité d'une personne physique (comme un professionnel de santé) ou d’une personne morale (éditeur de logiciels, établissement de santé, etc.) lors de l'accès à des services numériques en santé, tels que :
- l'appel au téléservice INSi ;
- l'alimentation du Dossier Médical Partagé (DMP) ;
- l'envoi de documents via des messageries sécurisées tel que la MSSanté ;
- l'alimentation du Répertoire national de l’Offre et des Ressources en santé (ROR) ;
- les flux d'échanges avec la plateforme numérique du service d’accès aux soins (SAS) ;
- l'intégration d'une DRIMbox à la Liste Blanche ;
- etc.
Il est essentiel pour garantir la sécurité, l'intégrité et la confidentialité des donnés de santé échangées au sein des systèmes d'information.
Un outil certifié par un tiers de confiance
Un certificat logiciel repose sur trois fonctionnalités clés :
- authentification : s’assurer de l’identité de l’entité qui se connecte à un service ;
- signature électronique : signer des documents dématérialisés ou des échanges de manière juridiquement fiable ;
- chiffrement : protéger les données transmises contre tout accès non autorisé et garantir leur confidentialité.
Chaque certificat logiciel contient des informations certifiées (nom, structure, usage, date de validité) par une autorité de certification (AC). Dans le domaine de la santé, cette fonction est assurée par l'Agence du Numérique en Santé (ANS), via la plateforme IGC-Santé.
L’ANS, en tant qu’autorité de certification, délivre des certificats logiciels conformes à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S). Ces certificats sont reconnus comme des Moyens d’Identification Électronique (MIE), garantissant la confiance numérique dans l’écosystème e-santé.
Développement et tests
Pour faciliter l’intégration de ces certificats dans vos solutions logicielles, l’ANS met à disposition des produits de développement comprenant :
- des documents techniques, guides d’intégration et composants applicatifs ;
- des cartes et certificats de test pour vos phases de développement et de validation.
Ces ressources sont accessibles depuis cette page et régulièrement mises à jour pour accompagner les évolutions réglementaires et techniques du secteur.
Quels sont les types de certificats logiciels délivrés par l’IGC-Santé ?
L’IGC-Santé délivre différents types de certificats logiciels, en fonction de l’usage prévu et de l’entité concernée (personne morale ou physique). Ces certificats peuvent être intégrés dans des applications, serveurs ou équipements pour sécuriser les échanges de données de santé.
Voici les principaux types de certificats disponibles :
Certificats pour personnes morales
[ ORG AUTH_CLI ] et [ ORG_SIGN ]
Ces certificats sont délivrés à une organisation (établissement de santé, éditeur de logiciel, hébergeur, etc.). Ils permettent notamment de :
- sécuriser les connexions entre applications ;
- garantir l’authenticité d’un service ou d’une plateforme ;
- signer ou chiffrer des flux au nom de la structure.
Certificats pour serveurs
[ SERV SSL ]
Utilisés pour identifier et sécuriser les serveurs (API, services web, messagerie, ...), ces certificats sont particulièrement utiles pour :
- les connexions TLS/SSL (HTTPS) dans les environnements santé ;
- l’intégration dans des architectures interopérables et sécurisées.
Ils peuvent être associés à un Hébergeur de Données de Santé (HDS).
Certificats pour personnes physiques
[ PRO AUTH ], [ PRO SIGN ], [ PS AUTH ] et [ PS SIGN ]
Moins fréquents dans les usages des Entreprises du Numérique en Santé, ces certificats sont attribués à des professionnels de santé à titre individuel, pour des usages spécifiques, par exemple pour la signature de documents médicaux. Dans les projets des ENS, ils sont surtout utilisés à des fins de test et de validation.
Comment obtenir un certificat logiciel ?
La demande de certificat logiciel s’effectue via la plateforme IGC-Santé. Cette démarche est réservée aux personnes habilitées au sein de la structure (responsable sécurité, référent d’identité numérique, etc.).
1
Commandez un moyen d'identification électronique (MIE) de test
Commandez un MIE de test via le formulaire dédié. Ce formulaire permet également de désigner les administrateurs techniques. Pour cela, plusieurs options :
2
Connectez-vous à la plateforme IGC-Santé
Sur la page d’accueil de la plateforme, connectez-vous via le mode d'authentification « Carte CPS ».
3
Demandez un certificat en fonction de l'usage et de la structure concernée
En fonction de l'usage choisissez le certificat (ORG, SERV, PRO, PS) et sélectionnez la structure concernée dans la liste déroulante.
Seules les structures sur lesquelles vous êtes habilité en tant qu'administrateur technique seront visibles.4
Retirez votre certificat sur la plateforme IGC-Santé
Dès réception d'un mail vous informant de la mise à disposition du certification, vous pouvez le retirer sur la plateforme IGC-Santé.
1
Commandez une carte de personnel de structure
Commandez un MIE de test via le formulaire dédié. Pour cela, plusieurs options :
2
Déclarez les administrateurs techniques
En tant que représentant légal ou mandataire, vous habilitez les administrateurs techniques ou bien vous vous déclarez administrateur technique. Pour cela, plusieurs options :
3
Connectez-vous à la plateforme IGC-Santé
Sur la page d’accueil de la plateforme, connectez-vous via le mode d'authentification « Carte CPS » ou Pro Santé Connect (avec ma e-CPS).
4
Demandez un certificat en fonction de l'usage et de la structure concernée
En fonction de l'usage choisissez le certificat (ORG, SERV, PRO, PS) et sélectionnez la structure concernée dans la liste déroulante.
Seules les structures sur lesquelles vous êtes habilité en tant qu'administrateur technique seront visibles.5
Retirez votre certificat sur la plateforme IGC-Santé
Dès réception d'un mail vous informant de la mise à disposition du certification, vous pouvez le retirer sur la plateforme IGC-Santé.
-
A tout moment, vous pouvez gérer votre certificat sur la plateforme IGC-Santé
Un certificat logiciel une durée de validité limitée (généralement 2 ou 3 ans). Il doit être renouvelé avant expiration pour éviter toute interruption de service.
Pour garantir la sécurité des échanges, il est recommandé de mettre en place une surveillance active des dates de validité et un processus interne de gestion des certificats.
Il est également possible de révoquer un certificat en cas de perte, de compromission ou de changement d'usage.
-
A tout moment, vous pouvez gérer les administrateurs techniques
En tant que représentant légal ou mandataire, vous pouvez habiliter ou révoquer un administrateur technique. Pour cela, plusieurs options :
La plateforme IGC-Santé
Infrastructure de Gestion des Clés cryptographiques (IGC) opérée par l’ANS
Depuis 2021, l'IGC-Santé est la plateforme de référence opérée par l’ANS pour la gestion des certificats électroniques dans le domaine de la santé. Elle permet aux organisations (personnes morales) de :
- gérer l’ensemble du cycle de vie des certificats (demande, renouvellement, révocation) ;
- retirer des certificats logiciels pour leurs applications ou serveurs ;
- disposer d’une interface centralisée et sécurisée, réservée aux administrateurs techniques habilités.
L’ANS met à disposition toute la documentation nécessaire
Dates clés du service
Les questions que vous vous posez
L’ANS répond aux questions les plus fréquemment posées sur les certificats logiciels.
Deux enjeux majeurs sont associés à la mise en œuvre de l’IGC-Santé :
- assurer la sécurité des clés privées et des certificats émis par l’ANS : il faut veiller à limiter l’accès à ces clés privées et qu’elles ne puissent pas être dupliquées ni installées sur plusieurs équipements ;
- assurer la continuité de service : de nombreuses applications de santé utilisaient les certificats émis par les deux anciennes IGC-CPS, qui ne sont plus actives depuis Janvier 2021. Elles doivent prendre en compte les nouveaux certificats émis par l’IGC-Santé.
En plus, les certificats émis par l’IGC-Santé respectent les règles habituelles de sécurité (analyse de risque, politique de sécurité), les "Politiques de Certification", et ils sont conformes aux référentiels de la PGSSI-S.
Cette réponse vous a-t-elle été utile ?
Deux enjeux majeurs sont associés à la mise en œuvre de l’IGC-Santé :
- assurer la sécurité des clés privées et des certificats émis par l’ANS : il faut veiller à limiter l’accès à ces clés privées et qu’elles ne puissent pas être dupliquées ni installées sur plusieurs équipements ;
- assurer la continuité de service : de nombreuses applications de santé utilisaient les certificats émis par les deux anciennes IGC-CPS, qui ne sont plus actives depuis Janvier 2021. Elles doivent prendre en compte les nouveaux certificats émis par l’IGC-Santé.
En plus, les certificats émis par l’IGC-Santé respectent les règles habituelles de sécurité (analyse de risque, politique de sécurité), les "Politiques de Certification", et ils sont conformes aux référentiels de la PGSSI-S.
Cette réponse vous a-t-elle été utile ?
L'Infrastructure de Gestion des Clés cryptographiques (IGC) opérée par l'ANS (IGC-Santé) délivre des certificats conformes au référentiel d'identification à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) pour l’accès aux services du numérique en santé (article L1470-1 et suivants du Code de la Santé Publique).
Cette réponse vous a-t-elle été utile ?
L'Infrastructure de Gestion des Clés cryptographiques (IGC) opérée par l'ANS (IGC-Santé) délivre des certificats conformes au référentiel d'identification à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) pour l’accès aux services du numérique en santé (article L1470-1 et suivants du Code de la Santé Publique).
Cette réponse vous a-t-elle été utile ?
Les certificats émis par l'ANS permettent d'identifier les acteurs du secteur, personnes physiques et organisations. Ils attestent aussi de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités. Ils peuvent être révoqués en cas de défaillance.
Cette réponse vous a-t-elle été utile ?
Vous êtes accompagné dans vos différentes démarches
Le support du Portail Industriels vous permet d'obtenir rapidement des réponses à vos questions.