Délégation à un fournisseur d'identité local

Pro Santé Connect

Présentation de la fonctionnalité

Objectif 

Cette fonctionnalité vise à optimiser les interactions numériques dans le secteur de la santé. Elle permet désormais aux utilisateurs de se connecter à Pro Santé Connect en utilisant l'identité numérique fournie par leur établissement d'origine.

Bénéficiaires 

Ce service est accessible à tous les établissements de santé qui gèrent leurs comptes utilisateurs via un fournisseur d'identité (FI) compatible. Ces établissements de santé peuvent offrir à leurs utilisateurs la possibilité de se connecter à Pro Santé Connect avec leurs identifiants locaux pour une durée prédéterminée.

Impact et Évolution

La mise en œuvre de cette fonctionnalité a nécessité une évolution significative de la plateforme Pro Santé Connect. Elle aura un impact direct sur les établissements de santé, les éditeurs de logiciels et les utilisateurs finaux. Une collaboration étroite entre notre équipe PSC et le support et l'expertise de l'éditeur de la solution de gestion des identités est nécessaire, ainsi que la participation active des établissements de santé intéressés.

Gouvernance et Collaboration 

Une gouvernance de projet sera mise en place pour chaque fournisseur d'identités afin d'assurer le bon déroulement des travaux, la prise de décisions efficace et la gestion des différents intervenants. Cette gouvernance sera détaillée dans la documentation technique fournie par l'ANS, l'éditeur de la solution de gestion des identités, et sera communiquée aux établissements candidats.

Prérequis Techniques et Contractuels 

Les établissements souhaitant utiliser cette fonctionnalité doivent satisfaire à certains prérequis techniques et contractuels. Ces prérequis seront détaillés sur cette page et mis à jour régulièrement pour refléter l'évolution de la fonctionnalité et les retours des participants.

Le processus d'authentification cible pour les ES

Participez au projet en tant qu'éditeur de solution de gestion des identités

Nous vous donnons la possibilité de proposer à vos établissements clients  la délégation de l'authentification Pro Santé Connec à leurs identités locales. 

  1. Pour cela votre solution doit être compatible avec les exigences de Pro Santé Connect à propos des fournisseurs d'identités tiers ;
  2. Vous devez constituer un panel d'établissements candidats afin de pouvoir pleinement tester la solution dans la plus grande partie des usages quotidiens du terrain ;
  3. Vous devez founir un ensemble documentaire technique à destination des établissements de santé ;
  4. Vous devez respecter le référentiel d'exigences dédié à la délégation des authentifications à un FI local.

Participez au projet en tant qu'établissement de santé

Nous permettons aux DSI des établissements de santé de déléguer à leurs comptes utilisateurs locaux l'authentification Pro Santé Connect.

  1. Pour cela vous devez être utilisateur d'une solution de gestion des identités déjà intégrées dans Pro Santé Connect ;
  2. Vous devez respecter le référentiel d'exigences dédié à la délégation des authentifications à un FI local.

Consultez la liste des fournisseurs d'identités déjà supportés par Pro Santé Connect

Si la solution de gestion d'identités que vous utilisez n'est pas dans la liste des solutions supportées nous vous invitons à prendre contact avec votre éditeur et lui proposer d'intégrer sa solution dans Pro Santé Connect en prenant contact avec l'équipe Pro Santé Connect.

Prérequis techniques

La solution de gestion des identités doit être pleinement compatible avec la norme OpenID Connect et prévoir d'être compatible avec  OpenID for Verifiable Presentations.

Techniques

  • Etre compatible OpenID Connect ;
  • Définir conjointement avec l'ANS les valeurs AMR qui seront autorisées pour indiquer la force d'authentification dans le claim AMR (RFC8176) ;
  • Indiquer dans les requêtes l'établissement source de la demande ;
  • Sécurisation des échanges par TLS (Transport Layer Security) ;
  • Implémentation de mécanismes de consentement utilisateur conformes aux réglementations ;
  • Support des protocoles de cryptographie recommandés pour garantir la confidentialité et l'intégrité des données.

Fonctionnels

  • Capacité d'audit de configuration ;
  • Gestion des identités et des accès (IAM) avec prise en charge des rôles multiples, sans possibilité pour les utilisateurs de modifier eux-mêmes la force d'authentification ;
  • Mécanismes de gestion des erreurs et des exceptions.

Organisationnels

  • Panel d'établissements diversifiés pour valider la solution ;
  • Documentation technique à destination des établissements ;
  • Accompagnement et support des établissements ;
  • Planification de la gestion de crise et des incidents.

Soumettez votre solution de gestion des identités

Vous êtes éditeur d'une solution de gestion des identités et des accès et vous intervenez dans le secteur de la santé ? 

Le référentiel d'exigences pour les FI tiers

VersionStatutEvolutionsDate d'application
1.0En constructionCréation30 mars 2024

Exigences générales

ThématiqueDescriptionEntités concernées
EXI FI 01équipes de sécuritéAu sein des équipes du fournisseur d’identités et de l’établissement de santé, les responsables de la sécurité DOIVENT être identifiés.
Leurs responsabilités DOIVENT être formalisées. Elles DOIVENT couvrir les activités de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance et de support afin d'assurer la mise en œuvre des mesures de sécurité
Fournisseur d’identités
Etablissement de santé
EXI FI 02sensibilisationUne sensibilisation générale aux enjeux et aux risques liés à la sécurité des systèmes d'information DOIT être menée pour les équipes du fournisseur d’identités et de l’établissement. Cette sensibilisation DOIT s'effectuer pour l'ensemble des équipes en charge des activités de conception, de développement, d'installation, d'exploitation, d'administration, de maintenance et de support.
Un fournisseur d’identités étant destiné à traiter des données à caractère personnel, la sensibilisation DOIT intégrer des obligations légales ainsi que des réglementations applicables
Fournisseur d’identités
Etablissement de santé
EXI FI 03plan d’assurance sécuritéSi l’établissement, le fournisseur d’identités ou un tiers sous sa responsabilité assure l'hébergement de tout ou partie des composants du système, ou fournit tout ou partie du système sous forme de service (SaaS) ALORS, il DOIT intégrer dans le plan d'assurance sécurité du système les mesures de sécurité et les engagements entre l'hébergeur et la structure utilisatrice, pour l'environnement de mise en œuvre du systèmeFournisseur d’identités
Etablissement de santé
EXI FI 04antivirusL’établissement de santé et le fournisseur d’identités DOIVENT s’assurer que les postes de travail utilisant la solution disposent d’un antivirus à jour afin de se prémunir des attaques du type cheval de Troie, contre les fichiers malicieux, par exempleEtablissement de santé
EXI FI 05guide de bonnes pratiquesUn standard ou guide de bonnes pratiques concernant l’installation et l’administration de la solution du fournisseur d’identités DOIT être défini par l’éditeur de la solution et suivi par l’établissementFournisseur d’identités
Etablissement de santé
EXI FI 06test d’intrusionLe fournisseur d’identités DOIT avoir fait l’objet d’un test d’intrusion réalisé par un prestataire d’audit de la sécurité des systèmes d’information (PASSI) qualifié*.
Ce test d’intrusion est à la charge de l’éditeur. Il doit être réalisé conformément au guide d’utilisation mis à sa disposition et donne lieu au remplissage par le prestataire d’audit d’un formulaire qui permet de valider la conformité du système à des points de contrôles essentiels portant sur la sécurité de celui-ci. Ce formulaire qui constitue une preuve à fournir DOIT afficher le caractère éligible au référencement du système, être daté de moins d’un an et être signé électroniquement par le prestataire ayant réalisé l’audit.
NB : La réalisation d’un audit PASSI (conditions de réalisation spécifiques et auditeur certifié PASSI) n’est pas requise. L’unique prérequis est de faire réaliser le test d’intrusion par un organisme qualifié PASSI. »
*liste des prestataires de services qualifiés : https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/
Fournisseur d’identités
EXI FI 07processus de veilleUn processus de veille (automatisé ou non) sur les vulnérabilités des composants du fournisseur d’identités DOIT être défini et appliqué. Un processus de patch management ou de distribution des patchs (dans le cas d'une solution hébergée par une structure utilisatrice) DOIT être déterminé et mis en œuvre (distribution des patchs, des mises à jour, etc.)Fournisseur d’identités
Etablissement de santé
EXI FI 08procédure de sauvegardeLe fournisseur d’identités et l’établissement DOIVENT proposer une procédure de sauvegarde et de restauration ainsi que la documentation associéeFournisseur d’identités
Etablissement de santé
EXI FI 09personne morale européenneLe fournisseur d’identités DOIT être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union EuropéenneFournisseur d’identités
EXI FI 10bonne conduiteLe fournisseur d’identités DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœursFournisseur d’identités
EXI FI 11langue françaiseLe service DOIT être proposé en langue françaiseFournisseur d’identités
EXI FI 12respect des loisLe fournisseur d’identités DOIT respecter la loi du 6 janvier 1978, dite « Informatique et Libertés », ainsi que le Règlement Général sur la Protection des Données (RGPD)Fournisseur d’identités
EXI FI 13traitement des donnéesLe fournisseur d’identités DOIT, lorsqu’il traite de données à caractère personnel, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement sécuriséFournisseur d’identités
Etablissement de santé
EXI FI 14modification du serviceLe fournisseur d’identités DOIT prévenir l’ANS dans le cas où le service ne serait plus conforme à une des exigences du présent référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé ConnectFournisseur d’identités

Modalités de raccordement technique

ThématiqueDescriptionEntités concernées
EXI FI 15compatibilité OIDCLe fournisseur d’identités DOIT être compatible avec le standard OpenID ConnectFournisseur d’identités
EXI FI 16support flux Authz Code FlowLe fournisseur d’identités DOIT supporter le flux Authorization Code FlowFournisseur d’identités
EXI FI 17client id / client secretLe fournisseur d’identités DOIT permettre à PSC de s’authentifier à son service en tant que client en utilisant un couple client ID / client secretFournisseur d’identités
EXI FI 18certificat client PSCLe fournisseur d’identités DOIT permettre à PSC de s’authentifier à son service en tant que client en utilisant un certificat électroniqueEtablissement de santé
EXI FI 19claim auth_timeLe fournisseur d’identités DOIT transmettre à PSC le timestamps indiquant la dernière authentification explicite du PS à son service. Cette information DOIT être contenue dans le claim auth_time de l’ID token transmis à PSCFournisseur d’identités
EXI FI 20claim contenant le MIE utiliséLe fournisseur d’identités DOIT transmettre à PSC le moyen d’identification électronique utilisé par le PS pour s’authentifier à son service par le moyen des jetons OIDCFournisseur d’identités
EXI FI 21identifiant unique immuable PSLe fournisseur d’identités DOIT transmettre à PSC un identifiant unique immuable permettant à PSC d’identifier l’utilisateur souhaitant s’authentifier à PSC par le moyen de l’ID token.
Si le fournisseur d’identités dispose d’une architecture multi-instances, il DOIT s’assurer que l’identifiant transmis à PSC est unique et immuable parmi toutes les instances existantes du FI
Fournisseur d’identités
EXI FI 22identifiant unique immuable ESLe fournisseur d’identités DOIT transmettre à PSC un identifiant unique immuable permettant à PSC d’identifier l’établissement de santé auquel appartient le compte du PS souhaitant s’authentifier à PSC. Par défaut, cette information est contenue dans le claim « iss » de l’ID tokenFournisseur d’identités
EXI FI 23informations d’identité du PS

Le fournisseur d’identités DOIT transmettre les informations suivantes à PSC concernant le PS souhaitant s’authentifier à PSC :

  • Nom
  • Prénom
  • Adresse email
Fournisseur d’identités
RECO FI 01paramètre MAX_AGELe fournisseur d’identités DEVRAIT supporter le paramètre MAX_AGE permettant à PSC de lui spécifier une durée de session utilisateur maximaleFournisseur d’identités
RECO FI 02endpoint de déconnexionLe fournisseur d’identités DEVRAIT proposer un endpoint de déconnexion globale des utilisateursFournisseur d’identités

Niveau d’authentification

ThématiqueDescriptionEntités concernées
EXI FI 24fonctionnalités FI

Le fournisseur d’identités DOIT :

  • supporter des MIE autorisés et compatibles PSC (mot de passe seul interdit) ;
  • permettre de définir des règles pour limiter l’accès à PSC à certains MIE et certains niveaux d’authentification (ex : exiger du MFA) ;
  • mettre ces capacités de contrôle à disposition des établissements utilisant le service
Fournisseur d’identités
EXI FI 25durée de sessionLorsqu’un utilisateur est déjà authentifié auprès du FI, au moment de réaliser la fédération d’identités avec PSC, le fournisseur d’identités DOIT s’assurer que la dernière authentification explicite de l’utilisateur a eu lieu il y a moins de 4 heures.
Si cette durée est dépassée, le fournisseur d’identités DOIT exiger une réauthentification de l’utilisateur.
Fournisseur d’identités
RECO FI 03propagation de l’authentificationLe fournisseur d’identités DEVRAIT proposer un mécanisme permettant à son service d’hériter de la session de l’utilisateur sur son poste de travailFournisseur d’identités
EXI FI 26qualité des données d’identitéL’établissement de santé DOIT s’assurer de la bonne gestion des données d’identité des PS avant toute fédération avec PSC : adresse email professionnelle sur un domaine appartenant à l’établissement, nom et prénom conformes.
Cette liste pourra être complétée lors de l’intégration de l’établissement de santé.
Etablissement de santé
EXI FI 27garanties d’identitéL’établissement doit mettre en place les mesures de sécurité nécessaires et suffisantes permettant de garantir l’identité véhiculée à PSC (gestion de l’inactivité, etc.)Etablissement de santé

Contrôle et audit

ThématiqueDescriptionEntités concernées
EXI FI 28capacité de contrôleLe fournisseur d’identités et l’établissement DOIVENT mettre à disposition de l’ANS un moyen de récupérer des indicateurs présentant les politiques d’accès à l’application PSC (durée de session, MIE et force d’authentification autorisés, etc.)Fournisseur d’identités
Etablissement de santé
RECO FI 04API d’auditLe fournisseur d’identités DEVRAIT mettre à disposition de l’ANS une API lui permettant de requêter des relevés d’indicateurs de façon autonome sans avoir à faire de demande à l’établissement dans lequel le service est implémentéFournisseur d’identités

Tests et bac à sable

ThématiqueDescriptionEntités concernées
EXI FI 29test PSC bac à sableLe fournisseur d’identités DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la productionFournisseur d’identités
EXI FI 30accès service de test FILe fournisseur d’identités DOIT donner accès à l’ANS à son service de testFournisseur d’identités

Exigences de « maturité » cyber

ThématiqueDescriptionEntités concernées
EXI FI 31processus IAM matureAu sein d’un établissement de santé, un fournisseur d’identités DOIT être intégré à un processus IAM mature (répertoire d’identité local, processus de gestion du cycle de vie des identités, synchronisation, etc.)Etablissement de santé
EXI FI 32comptes à privilègesLa gestion des comptes à privilèges au sein du fournisseur d’identités doit suivre les Recommandations relatives à l'administration sécurisée des systèmes d'information publié par l’ANSSIFournisseur d’identités
Etablissement de santé
EXI FI 33gouvernance des MIELes établissements DOIVENT avoir des processus de commande, d’enrôlement, et de distribution des MIE sécurisésEtablissement de santé
EXI FI 34incident de sécuritéUn établissement de santé DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou impliquant une violation de données à caractère personnel au sein de son infrastructure.
Un fournisseur d’identités DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou d’une faille au sein de ses services
Fournisseur d’identités
Etablissement de santé
EXI FI 35suivi des tracesLa solution du fournisseur d’identités DOIT disposer de capacités suffisantes de suivi des traces permettant de remonter les événements ayant mené à une identification fédérée auprès de PSC en cas de demande de l’ANS (investigation, réquisition juridique, etc.)Fournisseur d’identités
EXI FI 36conservation des tracesLe fournisseur d’identités et/ou l’établissement doit conserver les traces sur une durée minimale de 3 moisFournisseur d’identités
Etablissement de santé

Cette page vous a-t-elle été utile ?

Les informations recueillies dans le questionnaire sont enregistrées dans un fichier informatisé par l'ANS afin d’optimiser le site et satisfaire à vos attentes.

Les informations enregistrées sont destinées à l’usage de l’ANS et ne sont rendues accessibles qu’à ses services, personnels, prestataires externes ou partenaires habilités à en prendre connaissance.

Dans le respect de la réglementation applicable en matière de protection des données personnelles, vous disposez notamment d’un droit d’accès, de rectification et d’effacement de vos données.
Vous pouvez exercer ces droits en contactant le délégué à la protection des données de l’ANS, dans les conditions décrites sur la page dédiée Politique de protection des données personnelles du site de l’ANS.

CAPTCHA
Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.