Cartes de la famille CPS et certificats serveur Fabrice Henriot

Transcription

1 Cartes de la famille CPS et certificats serveur Fabrice Henriot Programme DMP en région - formation du lundi 25 juin 2012

2 Sommaire Enjeux : garantir un espace de confiance Les cartes de la famille CPS Les certificats serveurs délivrés par l ASIP Santé Usages en établissement de santé 2

3 Enjeux : garantir un espace de confiance Messagerie sécurisée Pharmacien Radiologue Médecins spécialistes Médecin coordinateur Social Patient Psycho-social PSIAD Para-médicaux Médico-social Etablissement 2 Médecin traitant Etablissement 1 Messagerie sécurisée Prise en charge coordonnée des patients Besoin de partager et d échanger des informations médicales 3

4 Un espace de confiance basé sur des identités certifiées Autorités d ENREGISTREMENT Autorité de CERTIFICATION = ASIP Santé Garantissent l identité et la qualité professionnelle des utilisateurs Ordres ES SSA RPPS (4 professions) RASS* (début 2013) SERVICE DE CERTIFICATION Émet les certificats d identification des professionnels Cartes de la famille CPS SERVICE DE PUBLICATION Liste d opposition CRL 7j/7 24h/24 Annuaire Garantit la validité des certificats d identification des professionnels * Référentiel des Acteurs Sanitaires et Sociaux (personnes morales et personnes physiques) Contrôle des accès aux données médicales APPLICATIONS 4

5 Sommaire Enjeux : garantir un espace de confiance Les cartes de la famille CPS Les certificats serveurs délivrés par l ASIP Santé Usages en établissement de santé 5

6 Les cartes de la famille CPS Cartes d identité professionnelle électronique du secteur de la santé, contiennent deux certificats : authentification et signature Cartes à puce protégée par un code confidentiel propre à son porteur. Depuis février 2011 : nouvelle version de cartes (CPS3) Standardisée : conforme aux spécifications IAS ECC Compatible avec les anciennes versions de cartes (CPS2ter); continuité de service des applications. Enrichie : Fonctionnement en mode sans contact; Stockage de jeton; Windows Smart Card Logon Conforme à la nomenclature RPPS imposée par le cadre national d interopérabilité des systèmes d information de santé. Encore plus sécurisée 6

7 La Carte de Professionnel de Santé (CPS) Professions réglementées L identité et la qualification de chaque professionnel de santé sont certifiées par une autorité compétente qui dépend de la profession : Ordres ou C est une carte personnelle et unique. Elle est délivrée aux Professionnels de Santé tels que décrits dans le Code de la Santé Publique et figurant dans la liste ci-contre. Elle comporte l ensemble des situations d exercice du Professionnel de Santé déclarées à l ASIP Santé. Les professionnels de santé concernés sont : Médecin* Pharmacien* Chirurgien dentiste* Sage-femme* Infirmier Masseur-kinésithérapeute Pédicure-podologue Orthophoniste Orthoptiste Psychomotricien Ergothérapeute Manipulateur ERM Opticien-lunetier Épithésiste Orthoprothésiste Orthopédiste-orthésiste Podo-orthésiste Oculariste Audioprothésiste Technicien de laboratoire méd. Diététicien * Professions concernées par le circuit RPPS à ce jour Autorité d enregis. Ordre M Ordre Ph Ordre CD Ordre SF 7

8 Les cartes de Personnel d Etablissement (CPE) Elle est délivrée à tout salarié de l Établissements non éligible à la carte CPS Elle est associée à une personne dans un établissement unique (un Personnel d Établissement intervenant dans plusieurs établissements aura plusieurs cartes) Son attribution relève uniquement de la responsabilité de l établissement qui agit alors en tant qu autorité d enregistrement (obligations et exigences dans le contrat d abonnement CPS) Exemples de Personnels d Établissement (PE) : Aide Soignant Secrétaire Médicale Agent administratif Agent des services techniques Hôtesse d accueil 8

9 La carte de directeur d établissement (CDE) La délivrance de cette carte est un pré-requis à la commande des produits CPx en ES. Elle est destinée au représentant légal de l établissement de santé, le Directeur ou son mandataire. Elle permet au responsable de l établissement de gérer le parc de cartes (de la commande à la mise en opposition) et lorsque c est nécessaire, de désigner un ou plusieurs mandataire(s) délégué(s). NB : si le directeur de l établissement est un professionnel de santé alors il y a la délivrance d une carte de CPS responsable à la place d une CDE 9

10 Modalité de distribution des CPS de production Pour les 4 professions dans le RPPS (= inscrits au tableau de l ordre) : (médecins, sages-femmes, chirurgiens-dentistes, pharmaciens) Diffusion généralisée des cartes CPS entre juin et octobre 2012 (envoi à l adresse de correspondance communiquée aux Ordres). A la mi juillet 2012, l ensemble des PS salariés exclusifs auront leur CPS sans avoir eu besoin d en faire la demande. Pour les autres professionnels de santé (PS): Remplir et signer le formulaire, le faire valider par l, puis l envoyer à l ASIP Santé Pour les personnels d établissement Utiliser TOM (à défaut remplir et signer le formulaire puis l envoyer à l ASIP Santé) Depuis le 1/01/11 : les CPS sont gratuites. Les CPE sont gratuites en petit nombre ; les commandes par lot seront soumises à un comité de validation qui statuera sur la commande sur la base des engagements d usages (accès au DMP, signature de documents, ) et de la PSSI accompagnant la demande. 10

11 Délais de délivrance des CPS de production hors RPPS et CPE Variable 2 à 3 semaines 1 à 2 jours 1 jour Courrier Postal (2 j) CPE (ou renouvellement CPS) CPS (première commande de carte) Délai au sein de l établissement de santé pour faire remplir les documents et les faire signer Délai auprès des Autorités compétentes pour valider l identité et la qualité professionnelle des porteurs * Délai au sein de l'asip Santé pour vérifier les documents, puis enclencher la production des cartes de la famille CPS * Délai de production des cartes Délai de distribution : envoi des cartes par courrier envoi des codes confidentiels par courrier séparé 24h après (en recommandé pour les CPS et CPF) CPS * : 1 mois pour une première commande de carte CPS : 1 semaine pour un renouvellement sur incident (vol, perte, dysfonctionnement) CPE * : 1 semaine * Dans le cadre d un déploiement de grande ampleur, les délais peuvent augmenter 11

12 Un téléservice destiné aux établissements de santé : TOM Il s agit d un outil en ligne de gestion des cartes de la famille CPS qui offre les fonctionnalités suivantes : Gestion des commandes de carte : commande unitaire ou par fichier XML La gestion des modifications : données du titulaire de la carte, coordonnées de la structure, déclaration de fin d exercice dans la structure Le suivi du parc de cartes de l établissement TOM permet la dématérialisation totale des commandes de produits CPE et la maîtrise de leur délais de délivrance (moins d une semaine). Ce service n est pas ouvert à tous les établissements pour le moment mais il peut l être sur demande. Pour plus de renseignements : etablissement@asipsante.fr 12

13 Modalités de distribution des CPS de test L'ASIP Santé met à disposition un service d'achat de carte CPS de test à l'unité ou par "jeux de cartes", à toute personne/entité ayant, pour ses tests d'un système ou d'une application, besoin de cartes CPS. Si vous n avez pas encore de contrat éditeur signé avec l ASIP Santé, il est nécessaire de vous rendre sur l espace intégrateur de l ASIP Santé à l adresse suivante Pour obtenir les logiciels CPS et accéder à l'espace membre du site web INTEGRATEURS de l'asip Santé, vous devez : signer avec l'asip Santé, un «contrat de diffusion des logiciels API-CPS (contrat éditeurs)» commander pour la toute première fois, un kit d'intégration CPS3 de référence nous renvoyer les documents signés suivant les modalités Le catalogue commercial complet des CPS de test RPPS/ADELI et ADELI est alors accessible. 13

14 Modalités de distribution des CPS de test Le kit CPS vous est proposé à des fins de développement d'applications intégrant les services de sécurité du système CPS. Il permet d'intégrer et de valider dans les applications : la bonne programmation des API des services de sécurité de la carte CPS, la logique de gestion des cartes CPS sur le poste de travail, l'impact de la carte CPS sur l'ergonomie du poste de travail, la mise au point des accès à l'annuaire CPS, pour obtenir les certificats des clés publiques, ainsi que les listes de révocation (CRL) (avec les outils de requêtes d'annuaire dont doit disposer l'éditeur) les logiciels API des services de sécurité de la CPS sous les divers environnements proposés par l'asip Santé. Le kit comporte : un logiciel "maquette : exemple d'intégration", un manuel de programmation et un guide d'intégration, un jeu standard de cartes de test. 14

15 Futures offres de certification Au-delà de la CPS3, l émergence des référentiels d acteurs de santé RPPS / RASS permet d envisager une rénovation en profondeur de l offre. Les premières étapes de cette refonte prévues pour S sont : de nouvelles cartes dites «déléguées» pouvant être commandées uniquement par les PS (sous réserve de l acceptation de la diffusion de ce type de carte par nos partenaires) des certificats logiciels de personnes physiques, pour tenir compte des nouvelles offres proposées par les industriels (offres SAAS, ) ou des nouveaux terminaux (tablettes) 15

16 Sommaire Enjeux : garantir un espace de confiance Les cartes de la famille CPS Les certificats logiciels délivrés par l ASIP Santé Usages en établissement de santé 16

17 Certificats serveurs délivrés par l ASIP Santé 2 types de certificats serveurs : des certificats de type «authentification SSL» pour l authentification de l établissement ; des certificats de type «signature S/MIME» pour la signature électronique A terme : certificats dits de «personne morale» Ils s installent sur un serveur («proxy» ou «passerelle») et garantissent les échanges sécurisés entre le système informatique de l établissement et des SI externes, comme le DMP. La carte de l administrateur technique L administrateur technique est l employé de l établissement qui sera en charge de procéder à la certification des clés de sécurité requises par les applications informatiques ; Il doit être titulaire d une carte CPE. 17

18 Procédure de commande des certificats serveur Enchaînement des étapes La distribution de certificat se déroule en deux phases : La phase administrative de distribution de certificat destinée à : enregistrer l établissement si cela n a pas déjà été fait auparavant enregistrer les informations qui seront contenues dans les certificats serveur (nom de domaine ) identifier les administrateurs techniques qui seront en charge des opérations techniques La phase technique de distribution de certificat destinées à : procéder à la génération des clés de sécurité des serveurs, à leur certification par l ASIP Santé et à l installation du certificat dans les serveurs de l établissement. Contrat d abonnement CPS Demande de certificat Génération de la clé Certification par l ASIP Installation dans l application Phase administrative Phase technique Carte de directeur Serveur-SMIME@etablissement.fr etc Carte de mandataire délégué Carte d administrateur 18

19 Commande de CSA de production La phase administrative La commande doit être faite sur notre site Web : Attention au pré requis suivant : La structure demandeuse doit disposer d un contrat d abonnement CPS Une refonte importante du site Web de l ASIP Santé est intervenue à la mi juin 2012 afin de simplifier le processus de commande de certificats serveurs et vous aider dans cette démarche : Comment renseigner le formulaire de demande de CSA? 7 octobre

20 Commande de CSA de production La phase technique Cette phase intervient une fois que la phase administrative a été accomplie avec succès. L opération se déroule en 3 étapes : Traitement du formulaire de demande de certificats de serveur applicatif Génération de la bi-clé RSA et du certificat; Réaliser l'opération de génération d'un certificat suppose que l'administrateur de serveur ait des compétences techniques. Il peut aussi, sous sa seule responsabilité, utiliser un outil pour MS Windows (nommé CLEO prérequis : avoir un lecteur de cartes CPS et son driver et avoir les bibliothèques d accès à la carte (la «Cryptolib») ) sui lui aura été proposé avec le courriel Envoi de la requête au Serveur d'inscription et retour L ASIP Santé offre un support administratif en cas de besoin etablissement@asipsante.fr L ASIP Santé offre un support technique en cas de besoin certificat.classe4@asipsante.fr 20

21 Générer des bi-clés RSA Commande de CSA de production La phase technique : Fonctionnalités de Cleo De générer des demandes de certificats CPS en procédant par étape : 1. Génération d un bi-clé (sécurisé par mot de passe ou pas) 2. Remplissage d un formulaire de demande de certificat (personnalisé en fonction du type de certificat serveurs) 3. Vérification des données sur l'annuaire de l'asip Santé. 4. Signature de la demande par une carte CPS, puis chiffrement par certificat serveur fourni. 5. Mise en forme d un (pièce jointe, adresse) prêt à être envoyé à l autorité de certification de l'asip Santé. 6. Importation de la réponse de l autorité de certification (format P7C). 7. Génération d un certificat au format P12 ou CRT 8. De signer ces demandes par une carte CPS. De générer des demandes de révocation. Arborescence permettant la gestion de plusieurs demandes de certificats Mode "CleoWizard" : assistant pour la création d'un certificat serveur 21

22 Commande de CSA de test Pour les certificats logiciels de test, la procédure administrative est différente de celle qui est utilisée pour les certificats logiciels de production. En accompagnement du jeu CPS de test du kit, avec la CPA de test, vous avez la possibilité de commander des certificats serveur applicatif de test de classe 4 (CSA) (SSL & S/MIME). 22

23 Sommaire Enjeux : garantir un espace de confiance Les cartes de la famille CPS Les certificats serveurs délivrés par l ASIP Santé Usages en établissement de santé Programme DMP en région 23

24 Usage indispensable : accès à des SI hors de l établissement 1) Accès au DMP Authentification directe (accès web DMP) Authentification indirecte (via solution SIH "DMP compatible") Création Alimentation Consultation CPE/CPS * CPS * CPS * Certificats serveur * Certificats serveur * * Délivrés par l ASIP Santé Non accessible Pour plus d information : - Guide pratique du Projet DMP en établissement de santé - Fiche pratique «Le DMP et la sécurité» sur esante.gouv.fr NB : Sur demande auprès de l ASIP Santé : Guide d installation pour le déploiement en ES de l accès web DMP (inclut les architectures de type TSE et Citrix.). 2) Autres usages de la CPS : messagerie sécurisée, télémédecine 24

25 Usage complémentaire (constaté en ES): sécurisation de l accès au SIH Dans le cadre de la politique de sécurité des SI élaborée par l ES : renforcement de la sécurité des accès au SI de l établissement (applications contenant des informations médicales à caractère personnel) : remplacement du login/mot de passe par une authentification par carte CPE/CPS Projet de type «IAM» (Identity Acces Management) sur plusieurs années gestion des identités (personnes accédant au SI de l ES) gestion des cartes CPE/CPS hors RPPS gestion des accès au Système d Information (SIH), choix d un SSO? gestion des habilitations aux applications du SIH gestion des traces. 25

26 Autre usage possible (constaté en ES) : Carte d établissement multi-usages Carte multiservices (+ forte dépendance de l utilisateur à la carte) La fonctionnalité «sans contact» des cartes CPS3 (ISO lecture <10 cm du lecteur) pouvant faciliter d autres usages en établissement : Accès aux locaux Accès à la cantine Accès aux parking Gestion du temps de travail Etc.. NB : les cartes CPS ne permettent que de stocker des données applicatives temporaires (ex: jeton de session) 26

27 Rappel : Qui contacter? Informations générales sur les cartes CPS, mise en opposition esante.gouv.fr Assistance téléphonique disponible 24h/24 7j/7 Pour obtenir le contrat d abonnement CPS et les formulaires associés, demander un certificat serveur, utiliser TOM : ASIP santé, Bureau des établissements, 9, rue Georges Pitard, Paris, Tél. : etablissement@asipsante.fr Pour demander des certificats serveurs de test et des cartes de la famille CPS de test : jacqueline.perrier@asipsante.fr 27

28 Chiffres clés Au 18 juin 2012 : En France : cartes de la famille CPS (CPS, CPE, CDE, etc.) en circulation dont : CPS et cartes CPE. Au sein des établissements hospitaliers : cartes distribuées dont cartes CPS. A la mi juillet, l ensemble des PS RPPS ayant uniquement des activités de salariés devraient avoir une CPS. Le parc de cartes de la famille CPS sera d environ dont médecins environ. 28

29 Merci de votre attention 29