Qu’est-ce que l’Espace de Confiance ?
L’Espace de Confiance (EDC) Pro Santé Connect permet d’enrichir et fluidifier les usages des professionnels de santé grâce au jeton Pro Santé Connect. L’accès aux services socles (DMP, Ordonnance Numérique, INSi dans un premier temps) pourra s’effectuer par API Pro Santé Connectées.
Cela implique de maintenir un niveau de sécurité dans le temps entre les différents acteurs de l’EDC, notamment sur le Proxy e-Santé sur lequel repose en grande partie la sécurité des échanges entre les composants. Ce niveau de sécurité sera assuré par un dispositif de conformité dédié, dont un nouveau référentiel d’exigences à respecter pour pouvoir intégrer l’EDC.
Les travaux autour de la construction de ce nouveau référentiel ont été rendu publics à l’ensemble de l’écosystème.
L'Espace de Confiance en 1 clic
Documentation de référence de l'EDC
Les documents de référence de l'Espace de Confiance sont les suivants :
- Le fichier Excel point de contrôles : document qui reprend les contrôles réalisés avant l’intégration à l’EDC (N1 à N4)
- Le document de conformité : document faisant référence aux contrôles N1, devant être rempli par l’éditeur et complété par l’opérateur.
- Le test d’intrusion pour les éditeurs de logiciels utilisateurs, ainsi que son document explicatif Word : identique au test d’intrusion du Ségur Vague 2.
- Le test d’intrusion pour les éditeurs de logiciels Proxy e-Santé, ainsi que son document explicatif Word : certains contrôles ont été ajoutés pour un meilleur découpage et une couverture plus complète.
Schéma de l'Espace de Confiance
Processus Bac à Sable (pré-requis CNDA)
Nous mettons en place un processus qui permet aux éditeurs de logiciel utilisateur d'accéder aux environnements de test Bac à Sable CNDA avant l'ouverture du guichet PSC pour l'Espace de Confiance.
Cet accès est soumis à un périmètre de preuves constitué :
- d’une authentification au BAS PSC réussie ;
- d’un sous-ensemble de points de contrôles du document de conformité ;
- d’un passage validé à l’outil de conformité dans son état à date pour l’éditeur de logiciel proxy e-Santé.
Une fois ces actions réalisées, l’éditeur de logiciel utilisateur doit envoyer un mail à edc.guichet.beta@esante.gouv.fr contenant :
- Les informations de son service récupérées auprès du CNDA :
- NIE : Numéro d’Identifiant Editeur, remis lors de votre inscription au portail du CNDA ;
- NIL : Numéro d’Identifiant Logiciel, remis lors de la création de votre logiciel sur le portail du CNDA ;
- Les caractéristiques de son accès au BAS de PSC, ainsi que celles de l’éditeur de logiciel proxy e-Santé auquel il s’est attaché :
- client_id ;
- dénomination du logiciel ;
- version du logiciel ;
- Les documents de conformité du sous périmètre « pré-requis CNDA » pour son logiciel utilisateur ainsi que pour le proxy e-Santé auquel il s’est attaché (point 2 ci-dessus) ;
- Le rapport validé de l’outil de conformité pour le proxy e-Santé auquel il s’est attaché (point 3 ci-dessus).
Dans cette première phase, seuls les environnements CNDA de l’INSi et Ordonnance Numérique seront accessibles.
Le GIE SESAM-Vitale a mis à disposition :
- une version draft du guide INSi ;
- la fiche information SEL-DT-023 Pro Santé Connectv03.00.00 Médecins.pdf pour l’Ordonnance Numérique, téléchargeable avec le corpus documentaire Ordonnance numérique (e-prescription unifiée).
Dès l'annonce de l'ouverture du guichet PSC, cette phase de Bac à Sable sera terminée. Une communication spécifique sera faite pour entériner la fin de cette étape intermédiaire.
Outil de conformité (proxy e-Santé)
Afin de simplifier le processus d’adhésion à l’Espace de Confiance, l’Agence du Numérique en Santé propose un outil de conformité aux éditeurs de logiciel proxy e-Santé, leur permettant de vérifier la conformité du proxy e-Santé aux exigences du référentiel.
L’outil de conformité des Proxy e-Santé de l’Espace de Confiance s’articule autour de 3 composants :
- Le scénario de Tests client :
- Ce composant envoie les requêtes prévues et simule les actions des PS avec leurs logiciels
- L’API de conformité :
- Ce composant permet d’obtenir par simple requête API les informations présentes au niveau du Proxy e-Santé, afin de valider que la gestion des informations répond aux exigences
- Le mock service API PSC :
- Ce composant simule une API Pro Santé Connectée
En pré-requis, votre proxy e-Santé doit implémenter deux swaggers :
- API-PSC-tests de conformité.json : interface de l'API de conformité
- API-Proxy-eSante.json : interface de l'API PSC du mock service
Vous trouverez ces swaggers ainsi qu'un code exemple de proxy e-Santé sur le Github ANS.