Sermentis version 2.x.x.x

Guide d installation et de prise en main Etape par étape, toutes les explications détaillées pour installer Sermentis, optimiser le traitement du courrier et tirer parti des fonctionnalités avancées. Sermentis version 2.x.x.x 1

Sommaire INTRODUCTION...4 POURQUOI SECURISER SA MESSAGERIE PROFESSIONNELLE...4 POURQUOI UTILISER LE SYSTEME CPS...4 POURQUOI CHOISIR UN OUTIL HOMOLOGUE INTEROPERABILITE...5 COMMENT ÇA MARCHE...5 1. SERMENTIS...6 1-1 PRESENTATION...6 1-2 UN ENVIRONNEMENT DE SECURITE OPTIMAL...7 1-3 CONFIGURATION REQUISE...8 1-4 LA LICENCE D ABONNEMENT...9 2. PREPARER L INSTALLATION...10 2-1 INSTALLATION OU MISE A JOUR EVENTUELLE DES APIS CPS...10 2-2 CONFIGURER L AGENT DE MESSAGERIE...10 3. INSTALLATION...14 4. CONFIGURER SERMENTIS...16 4-1 PREREQUIS...16 4-2 CONFIGURER AVEC L ASSISTANT...16 4-3 REPRENDRE LA CONFIGURATION...17 4-4 EN SAVOIR PLUS...20 5. L INTERFACE DE SERMENTIS...22 5-1 OUVRIR UNE SESSION AU DEMARRAGE DE WINDOWS...22 5-2 LE MENU GENERAL...22 5-3 FERMER ET OUVRIR UNE SESSION, QUITTER ET LANCER SERMENTIS...23 6. SIGNER ET CHIFFRER LES MESSAGES...24 6-1 LES OPTIONS DE SECURITE...24 6-2 DECHIFFRER UN MESSAGE ENVOYE...26 7. CONTROLER ET LIRE LES MESSAGES REÇUS...27 7-1 LE MESSAGE REÇU EST SIGNE ET/OU CHIFFRE...27 7-2 LE MESSAGE REÇU N EST NI SIGNE NI CHIFFRE...27 8. OPTIMISER LA CONFIGURATION...29 8-1 LES COMPTES SECURISES...29 8-2 LES OPTIONS DE SESSIONS...29 8-3 CONTROLER LE CONTENU DES MESSAGES REÇUS...30 8-4 LES OPTIONS DE SECURITE...30 8-5 ADRESSES SECURISEES : DEFINIR DES REGLES SUPPLEMENTAIRES...31 8-6 LES OPTIONS AVANCEES...32 9. ANNUAIRE ET BASE DE SECURITE...33 2

9-1 LA FENETRE BASE DE SECURITE...33 9-2 VISUALISER LES INFORMATIONS D UN CERTIFICAT...34 9-3 DEFINIR LE PROFIL DE SECURITE D UN CORRESPONDANT...34 9-4 RECHERCHER LE CERTIFICAT D UN CORRESPONDANT...35 9-5 IMPORTER UN CERTIFICAT NON GIP «CPS»...36 9-6 MISE A JOUR MANUELLE DE LA BASE DE SECURITE...36 10. GERER LE OU LES COMPTES SECURISES D UN UTILISATEUR...38 10-1 MODIFIER OU SUPPRIMER UN COMPTE EXISTANT...38 10-2 REVOQUER UN CERTIFICAT...38 10-3 SAUVEGARDER ET RESTAURER CLES ET CERTIFICAT...39 10-4 SECURISER UN NOUVEAU COMPTE...40 11. FONCTIONNEMENT MULTI-UTILISATEUR...42 11-1 DECLARER UN NOUVEL UTILISATEUR...42 11-2 CHACUN SA MESSAGERIE...42 11-3 CHANGER D UTILISATEUR...42 12. DELEGUER LE TRAITEMENT DU COURRIER...43 12-1 EXPORTER LES OUTILS DE CHIFFREMENT DU DELEGANT...43 12-2 DELEGUER SUR L ORDINATEUR DU DELEGANT...43 12-3 DELEGUER SUR L ORDINATEUR DU DELEGATAIRE...46 13. LE MODE DE SECOURS OU MODE DEGRADE...49 14. DESINSTALLATION...50 3

Introduction Sermentis s adresse à tous les professionnels de santé désireux de sécuriser leurs échanges électroniques courriers et documents à l aide du système mis en place par le GIP «CPS». Sermentis est l une des premières solutions de sécurisation homologuée par le GIP «CPS». Sermentis respecte la législation et utilise les standards en vigueurs : S/MIME (messagerie sécurisée), X509v3 (certificats numériques) et LDAP (annuaire de certificats). Avec Sermentis, vous communiquerez en toute sécurité avec n importe quel professionnel de santé, en ville ou en établissement, utilisant un outil de sécurisation de messagerie homologué par le GIP «CPS». POURQUOI SECURISER SA MESSAGERIE PROFESSIONNELLE Tout simplement parce qu un courrier électronique non sécurisé circulant sur l Internet est aussi confidentiel qu une carte postale! En conséquence, expédier une demande d avis ou transmettre un résultat d analyse «en clair» (donc potentiellement lisible par n importe qui), c est contrevenir à la Loi relative à la confidentialité des données médicales personnelles. Par ailleurs, lors des échanges électroniques, les interlocuteurs peuvent très bien ne pas se connaître. Il faut donc un moyen sûr d identifier l auteur d un message électronique, et faire en sorte que l on puisse vérifier que le message n a pas été altéré ou modifié lors de son transport sur le réseau. Le cadre juridique mis en place autour des données médicales personnelles impose donc un minimum de précautions : utiliser le système CPS pour chiffrer mails et documents attachés afin de garantir la confidentialité, et apposer une signature électronique certifiée sur les courriers pour authentifier l identité de l expéditeur et attester de l intégrité du message. Pour réaliser ces opérations, il faut disposer d une carte CPS et installer un outil logiciel de sécurisation en complément de votre messagerie électronique habituelle. Loi portant adaptation du droit de la preuve aux technologies de l'information et relative à la Signature Electronique (13 mars 2000) et son décret d application (30 mars 2001) Loi relative aux Droits des Malades et à la Qualité du Système de Santé (4 mars 2002) Loi relative à l Assurance Maladie (13 août 2004) : «Afin de garantir la confidentialité des informations médicales mentionnées aux alinéas précédents, leur conservation sur support informatique, comme leur transmission par voie électronique entre professionnels, sont soumises à des règles définies par décret en Conseil d'etat pris après avis public et motivé de la Commission Nationale de l'informatique et des Libertés. Ce décret détermine les cas où l'utilisation de la Carte de Professionnel de Santé mentionnée au dernier alinéa de l article L 161-33 du code de la sécurité sociale est obligatoire.» Article 2 LOI n 2004-810 du 13 août 2004 relative à l'assurance maladie J.O n 190 du 17 août 2004 page 14598. POURQUOI UTILISER LE SYSTEME CPS Il existe d autres outils de sécurisation basés sur des autorités d enregistrement et de certification autres que le GIP «CPS». Mais attention, ces organismes ne sont pas reconnus dans le domaine de la santé : si le Dr Watson n utilise pas le système CPS pour sécuriser sa messagerie, vous ne pourrez pas être sûr et certain que le message reçu émane bien du Dr Watson, que celui-ci est effectivement un professionnel de santé en exercice médecin, biologiste, radiologue, etc et que message ou pièces jointes n ont pas été falsifiés ou lus par un tiers. 4

Et grâce à l annuaire électronique du GIP «CPS», vous pourrez contacter de façon sûre n importe quel professionnel de santé utilisant le système CPS, même si vous ne le connaissez pas. A l inverse, utiliser le système CPS, c est pouvoir être joint par n importe quel professionnel de santé utilisateur du système. POURQUOI CHOISIR UN OUTIL HOMOLOGUE INTEROPERABILITE Le GIP «CPS» est en charge de l homologation des outils permettant de s appuyer sur le système CPS pour sécuriser les messageries électroniques. Choisir un logiciel homologué, c est être sûr de pouvoir mettre en œuvre toutes les fonctionnalités nécessaires à une sécurité optimale. C est aussi être sûr de pouvoir communiquer en toute sécurité avec n importe quel professionnel de santé en possession d une carte CPS et utilisant un logiciel de sécurisation homologué. C est ce que l on appelle l interopérabilité. COMMENT ÇA MARCHE Le système CPS met en œuvre une cryptographie asymétrique à clé publique et un chiffrement fort (128 bits). La cryptographie asymétrique repose sur une paire de clés : une clé privée, gardée secrète, et une clé publique destinée à être largement diffusée au sein d un certificat numérique dont le GIP «CPS» garantit la validité. Le GIP «CPS» est l autorité d enregistrement et de certification officielle de tous les échanges électroniques du secteur de la santé. Les certificats publics des professionnels de santé sont accessibles par l intermédiaire de l annuaire électronique du GIP «CPS». Chaque certificat est destiné à un usage précis : certificat de signature, certificat d authentification, certificat de confidentialité Et pour chaque certificat, il existe une clé privée. Sermentis permet d utiliser les outils de signature électronique stockés dans une carte CPS, génère vos clés de chiffrement/déchiffrement et demande au GIP «CPS» le certificat de confidentialité correspondant. Vous pouvez alors signer, chiffrer et déchiffrer vos messages. 5

1. Sermentis Une fois installé, Sermentis s intercale entre votre logiciel de messagerie et le réseau (internet, intranet...) afin de contrôler l entrée et la sortie de tous les messages associés à votre boîte aux lettres sécurisée. 1-1 PRESENTATION Sermentis traite tous vos messages : courrier personnel et professionnel, sécurisé ou non. Pour le traitement des flux HPRIM Net et des flux IRIS B2 à destination des caisses «pivot», il existe des extensions spécifiques. Sermentis est discret : il se traduit par une petite icône dans la barre des tâches. Sermentis est conçu pour être multi-utilisateur. Une fois installé, Sermentis peut sécuriser plusieurs comptes de messagerie : il suffit de posséder une licence pour chaque adresse email. Ainsi, dans le cadre d un cabinet de groupe, Sermentis permet de dédier un ordinateur à la messagerie sécurisée, chaque utilisateur possédant son propre profil, voire même son propre logiciel de messagerie. Sermentis offre la possibilité de déléguer le traitement du courrier à un autre professionnel de santé, dans le cadre d un remplacement par exemple. Le délégataire utilisera alors sa propre carte CPS pour accéder à la messagerie sécurisée, relever et déchiffrer le courrier. En revanche, la signature électronique ne peut pas être déléguée à qui que ce soit. Sermentis propose un mode dit «dégradé» ou «de secours». Les opérations de signature réclament la présence effective de la carte CPS du signataire. En cas d oubli de votre carte CPS ou d indisponibilité des informations (perte du code PIN, panne de lecteur ), vous ne pourrez pas signer vos messages. En revanche, le mode de secours vous permettra de déchiffrer votre courrier, d en vérifier la signature, et de chiffrer des messages à l attention de vos correspondants. Pour des raisons de sécurité, l utilisation du mode de secours est protégée par un mot de passe défini lors de la configuration de Sermentis et réclame la saisie de votre numéro d identification national (IDNAT). Messages envoyés Une fois votre courrier rédigé dans votre logiciel de messagerie, Sermentis demande lors de chaque envoi s il doit signer, chiffrer, signer ET chiffrer ou ne rien faire. Bien sûr, Sermentis offre la possibilité d automatiser chiffrement et signature, par exemple en demandant que tous les messages sortants soient systématiquement signés et chiffrés sans aucune intervention de votre part. Vous pourrez même lui demander de sécuriser systématiquement les courriers destinés à une adresse particulière par exemple tous les courriers adressés à john.watson@sermentis.fr ou bien à un groupe d adresses par exemple tous les courriers destinés à une adresse du type @sermentis.fr. Messages reçus Sermentis déchiffre messages et pièces jointes tout en contrôlant leur authenticité et leur intégrité : signature et validité des certificats sont systématiquement vérifiées. Ensuite, il transmet au logiciel de messagerie un compte-rendu de sécurité garantissant le bon déroulement des procédures de contrôle. Par prudence, le contenu du message est placé en pièce jointe du compte-rendu de sécurité. Gestion des certificats Sermentis gère toutes les clés et certificats nécessaires à la sécurisation de vos échanges électroniques. 6

Sermentis prend en charge votre demande de certificat de confidentialité auprès du serveur d inscription du GIP «CPS». Si nécessaire, vous pourrez révoquer c est-à-dire annuler vos certificats par l intermédiaire de Sermentis. Il vous permettra également de rechercher les coordonnées électroniques sécurisées de vos correspondants, et de les enregistrer dans votre annuaire local. Avant d utiliser un certificat, il faut vérifier sa validité et sa non-révocation. Sermentis télécharge donc automatiquement et régulièrement les listes de révocations publiées par le GIP «CPS». Grâce à ces listes, Sermentis met à jour votre annuaire local et vérifie la validité des certificats que vous utilisez. 1-2 UN ENVIRONNEMENT DE SECURITE OPTIMAL Sermentis assure toutes les fonctions indispensables à la protection de votre courrier électronique, tout en vous permettant d automatiser ou de déléguer certaines tâches. Confidentialité C est l assurance qu un document sera incompréhensible par un tiers autre que le destinataire et l expéditeur. En effet, la Législation française impose à tout utilisateur de messagerie sécurisée d être en mesure de déchiffrer, à la demande des autorités compétentes, tout message chiffré envoyé à un correspondant. Selon les règles de la cryptographie asymétrique, une fois le message chiffré envoyé, seul le destinataire est en mesure de le déchiffrer! Sermentis effectue donc un double chiffrement, comme si l expéditeur était systématiquement ajouté à la liste des destinataires du message. Les contraintes de confidentialité sont alors respectées conformément à la législation, puisque seuls destinataire et expéditeur peuvent avoir connaissance du message. Intégrité Les données sont dites «intègres» lorsqu elles n ont pas été altérées, de manière fortuite ou intentionnelle, pendant la communication. Sermentis vérifie que message ou pièces jointes reçus n ont pas été modifiés lors de leur transfert sur le réseau. Authentification Authentifier consiste à s assurer de l'identité d un objet une personne, un ordinateur, un programme, etc lors d une transaction. Appliqué au courrier électronique, cela signifie contrôler l identité de l auteur d un message reçu. Cela signifie aussi rendre les outils de signature inaccessibles aux personnes non autorisées. Sermentis exige la présence et le code PIN de la carte CPS (où à défaut, un mot de passe préalablement défini) pour ouvrir une session. Sermentis exige la présence et le code PIN de la carte CPS (ou en mode de secours, un mot de passe préalablement défini) pour chiffrer le courrier expédié et déchiffrer les messages reçus. Sermentis exige la présence et le code PIN de votre carte CPS pour signer le courrier. Sermentis examine la signature numérique de chaque courrier reçu et vérifie que celle-ci est valide. L auteur du message est identifié. 7

Non répudiation Il faut ici entendre la possibilité d apporter une preuve fiable permettant de prouver l origine des messages reçus lors d un litige. En clair, l émetteur d un message signé à l aide du système CPS ne peut renier le contenu du message. Le destinataire (vous) est donc protégé contre une fausse déclaration de non-émission par l'émetteur. En effet, celui-ci a signé message et pièces jointes, et sa signature numérique équivaut à une signature manuscrite car le certificat numérique lui permettant de signer est stockée sur sa carte CPS, laquelle est considérée comme un support nominatif et intransmissible (ne peut être ni prêté, ni échangé). Sermentis vérifie que la signature numérique des messages reçus est valide, ce qui authentifie à coup sûr l auteur du message. Le signataire d un message ne peut renier son contenu. Protection anti-intrusion Sécuriser une messagerie consiste aussi à détecter les intrus, à commencer par les programmes malveillants qui se cachent parfois dans un message électronique ou une pièce jointe ; ces programmes se déclenchent souvent à l ouverture du message ou des pièces jointes, raison pour laquelle Sermentis n'ouvre aucun fichier. Tout message signé et/ou chiffré reçu est intercepté et analysé par Sermentis, qui produit ensuite un compte-rendu de sécurité détaillé. Ce compte-rendu de sécurité vient se substituer au message reçu, le message en question étant placé en pièce jointe du compte-rendu. Consulter le compte rendu de sécurité avant d ouvrir un message évite les mauvaises surprises et contribue à une sécurité optimale. Si vous le souhaitez, Sermentis contrôlera également le contenu des messages «lambda», c est-à-dire non signés ou non chiffrés, qui arrivent à votre adresse électronique sécurisée. Attention, seul le contenu du message et les pièces jointes sont sécurisés. L en-tête du message destinataire, expéditeur et objet n est pas sécurisé et circule en clair sur le réseau afin que le courrier puisse être distribué. Il ne faut donc jamais saisir d informations confidentielles dans l objet d un message. 1-3 CONFIGURATION REQUISE Système d exploitation : Windows 9x, Windows ME, NT, 2000, XP ou Vista Accès à l Internet : Sermentis est compatible avec tous les fournisseurs d accès Internet. Logiciel de messagerie électronique : Sermentis est compatible avec les agents de messagerie utilisant les protocoles de communication SMTP et POP. Exemples : Microsoft Outlook (Express, 97, 2000, 2002, 2003, 2007), Windows mail, Eudora... Lecteur de carte CPS : équipé d un logiciel lecteur version 2.11 ou ultérieure, celui-ci doit être convenablement relié à l ordinateur et piloté par une version 5.03 ou ultérieure du logiciel de gestion de la carte CPS, communément appelé «APIs CPS». Si vous télétransmettez des feuilles de soins électroniques, vous utilisez obligatoirement un logiciel Lecteur version 2.11 ou ultérieure et les APIs CPS sont déjà installées sur votre ordinateur. Carte de la famille CPS en cours de validité à partir de la version 2 bis. 8

1-4 LA LICENCE D ABONNEMENT Pour utiliser le logiciel Sermentis, il faut acheter une licence d abonnement auprès du Réseau santé social, éditeur de Sermentis. La licence permet d utiliser Sermentis pour sécuriser un compte de courrier électronique (une adresse électronique) pendant un an. L année suivante, la licence doit être renouvelée pour continuer d utiliser Sermentis. Sermentis est multi-utilisateur, c est-à-dire qu il a été conçu pour sécuriser plusieurs comptes de courrier électronique différents, sous réserve d acquérir autant de licences que de comptes de messagerie à sécuriser. La licence donne droit à : 1) L utilisation du logiciel Sermentis pour sécuriser une adresse électronique pendant un an 2) La mise à jour gratuite de Sermentis (additif ou nouvelle version à télécharger) 3) Une assistance par mail : assistance@sermentis.fr 4) Une adresse mail sur nos serveurs (votrenom@sermentis.fr) 5) Si nécessaire, assistance téléphonique lors de l'installation et la configuration initiale de Sermentis. Pour connaître les tarifs actuels, pour obtenir ou renouveler une licence, pour télécharger les mises à jour gratuites, rendez-vous sur : http://www.sermentis.fr/mms 9

2. Préparer l installation Pour fonctionner, Sermentis a besoin d accéder aux données archivées dans votre carte CPS. Pour qu un lecteur de carte fonctionne correctement avec une carte CPS, il faut installer un petit programme appelé APIs CPS. Si votre lecteur de carte fonctionne et vous permet par exemple de télétransmettre, c est que ce programme est déjà installé. Sermentis doit également contrôler vos échanges électroniques. Il faut donc modifier les réglages de votre logiciel de messagerie en conséquence. 2-1 INSTALLATION OU MISE A JOUR EVENTUELLE DES APIS CPS Sermentis vérifie la version des APIs CPS installées sur votre poste de travail. Si ce programme n est pas installé, ou si une mise à jour s impose, Sermentis vous le signalera lors de sa mise en service. Si nécessaire, vous pourrez obtenir la dernière version des APIs CPS sur http://www.sermentis.fr/mms. Une fois téléchargée, suivez les instructions d installation des APIs CPS. 2-2 CONFIGURER L AGENT DE MESSAGERIE Il s agit de déclarer au logiciel de messagerie un nouveau compte, associé à votre adresse Sermentis. La procédure étant variable d'un logiciel à l'autre, vous trouverez ci-dessous 3 exemples avec Microsoft Outlook Express, Microsoft Outlook 2003 (2007 ) et Windows Mail. Dans tous les cas, vous devrez vous munir de vos paramètres d accès à votre boite aux lettres Sermentis (identifiant, mot de passe ) communiqués par le Réseau santé social. A l issue de cette configuration, le logiciel de messagerie contactera «localhost», en l occurrence Sermentis, à chaque opération de réception ou d envoi. Ensuite, Sermentis contactera directement les serveurs de messagerie POP et SMTP pour relever ou envoyer le courrier. 10

Microsoft Outlook Express Dans le menu Outils, sélectionnez Comptes Cliquez sur le bouton Ajouter, situé en haut à droite de la boite de dialogue, puis sélectionnez Courrier Saisissez votre nom puis cliquez sur le bouton Suivant. Saisissez votre adresse de messagerie Sermentis complète puis cliquez sur le bouton Suivant. Spécifiez le type de serveur (POP3), le nom du serveur de courrier entrant (localhost) et le nom du serveur de courrier sortant (localhost), puis cliquez sur le bouton Suivant. Saisissez le nom du compte et le mot de passe. (ces paramètres vous ont été communiqués par le Réseau santé social). Vous pouvez cocher la case Mémoriser le mot de passe si vous ne souhaitez pas le saisir à chaque lancement du logiciel. Cliquez ensuite sur le bouton Suivant, puis sur le bouton Terminer de l écran suivant. 11

Microsoft Outlook 2003 (ou 2007 ) Dans le menu Outils, sélectionnez Comptes de messagerie Sélectionnez Ajouter un nouveau compte de messagerie, puis cliquez sur le bouton Suivant. Sélectionner l option POP3 puis cliquez sur le bouton Suivant. Saisissez votre nom ainsi que votre adresse de messagerie complète dans la section Informations sur l utilisateur. Indiquez les noms de serveur de courrier entrant (localhost) et sortant (localhost) dans la section Informations sur le serveur. Saisissez votre nom d utilisateur et votre mot de passe (ces paramètres vous ont été communiqués par le Réseau santé social) dans la section Informations d ouverture de session. Vous pouvez cocher la case Mémoriser le mot de passe si vous ne souhaitez pas le saisir à chaque lancement du logiciel. Cliquez ensuite sur le bouton Suivant, puis sur le bouton Terminer de l écran suivant 12

Windows Mail (Vista ) Dans le menu Outils, sélectionnez Comptes Cliquez sur le bouton Ajouter, situé en haut à droite, puis sélectionnez Compte de messagerie Saisissez votre nom puis cliquez sur le bouton Suivant. Saisissez votre adresse de messagerie Sermentis complète puis cliquez sur le bouton Suivant. Spécifiez le type de serveur (POP3), le nom du serveur de courrier entrant (localhost) et le nom du serveur de courrier sortant (localhost), puis cliquez sur le bouton Suivant. Saisissez le nom du compte et le mot de passe. (ces paramètres vous ont été communiqués par le Réseau santé social). Vous pouvez cocher la case Mémoriser le mot de passe si vous ne souhaitez pas le saisir à chaque lancement du logiciel. Cliquez ensuite sur le bouton Suivant, puis sur le bouton Terminer de l écran suivant. 13

3- INSTALLER LE LOGICIEL SERMENTIS Pour Installer Sermentis MMS : Veuillez vous munir du Kit Le Réseau santé social 7.0, sélectionner le menu «Ajouter ou supprimer des services». Il est également possible de le télécharger depuis l espace téléchargement de notre site web : www.lereseausantesocial.fr ou www.sermentis.fr 14

Vérifier que votre carte est bien dans le lecteur avant de lancer l installation. Vos paramètres sont installés automatiquement, il est possible de les compléter ou les modifier. A la fin du processus, une nouvelle icône apparaît sur le bureau. Cette icône est un raccourci destiné à lancer Sermentis manuellement. 15

4. Configurer Sermentis 4-1 PREREQUIS Pour configurer Sermentis, il vous faut une carte de la famille CPS et toutes les coordonnées du compte de messagerie à sécuriser. Ces informations adresse, nom d utilisateur, mot de passe, etc. vous ont été communiquées par le Réseau santé social. La configuration réclame un accès Internet. Si le réseau semble anormalement lent, remettez la configuration à plus tard 4-2 CONFIGURER AVEC L ASSISTANT Une fois configuré, Sermentis se lancera automatiquement au démarrage de Windows. Mais lors de la première utilisation, il faut l ouvrir manuellement, en double-cliquant sur le raccourci placé sur le bureau lors de l installation. Sermentis exige la présence de votre carte CPS pour ouvrir une session de travail. Insérez votre carte dans le lecteur, saisissez le code PIN correspondant et cliquez sur le bouton fléché >> pour valider. A la lecture des informations contenues dans votre carte CPS, Sermentis détecte que vous êtes un nouvel utilisateur et lance aussitôt l assistant de configuration. Cliquez sur le bouton Suivant pour valider. Le logiciel Sermentis vous propose de procéder à l installation. L application procédera à l enregistrement des certificats et des listes de révocation (indispensable à la sécurité). Puis il va procéder à la demande de certificat auprès du GIP-CPS. D ici une dizaine de minutes, votre logiciel de messagerie devrait recevoir un courrier électronique faisant office d avis d inscription. Cet avis d inscription qui contient votre certificat de confidentialité a été préalablement contrôlé par Sermentis, qui se charge automatiquement d enregistrer le certificat sur le disque dur, dans votre base de certificats personnelle. 16

Dès la réception de votre certificat de confidentialité, Sermentis propose d en faire une sauvegarde en cas de détérioration ou de perte de l'ordinateur. Cliquez sur Oui. Sauvegarder le certificat consiste à l exporter sur un support amovible (Clé USB, CD, etc.). Cliquez sur le bouton Parcourir pour sélectionner le répertoire de destination. Par sécurité, Sermentis chiffre votre certificat de confidentialité avant de l exporter. Une fois chiffré, le certificat est inutilisable. Vous indiquez ici le mot de passe de sauvegarde qui servira à déchiffrer le certificat si une restauration s avère nécessaire. Vous possédez désormais tous les éléments nécessaires à la sécurisation de votre messagerie électronique. D ici 24 heures ouvrées, votre certificat de confidentialité sera automatiquement publié dans l annuaire du GIP «CPS» afin que l on puisse vous adresser des messages chiffrés. Par sécurité, copiez-le également sur votre disquette de sauvegarde. AVEC SERMENTIS : vous avez installé sur votre poste de travail les outils (certificats et listes de révocation) nécessaires à l utilisation des services CPS ; vous êtes inscrit en tant qu utilisateur des services CPS ; vous pouvez apposer votre signature électronique à partir du certificat de signature stocké dans votre carte CPS ; vous avez généré les outils nécessaires aux opérations de chiffrement/déchiffrement et vous êtes par conséquent en mesure de correspondre de façon confidentielle avec d autres professionnels de santé ; vous pouvez consulter l annuaire du GIP «CPS» pour rechercher les coordonnées sécurisées de vos correspondants ; vos correspondants peuvent obtenir vos coordonnées sécurisées en consultant l annuaire du GIP «CPS». 4-3 REPRENDRE LA CONFIGURATION La configuration de Sermentis est en grande partie automatique, mais elle n en est pas moins complète et fait intervenir plusieurs éléments : accès Internet, lecteur de cartes, cartes et services Web du GIP «CPS» Etape par étape, voici comment résoudre les problèmes de configuration : 17

Si un message d échec de lecture de la carte s affiche, vérifiez l insertion correcte de la carte dans le lecteur, ainsi que la connexion du lecteur de carte(s) à l ordinateur. Si le problème persiste, testez votre carte dans un autre lecteur. Si votre carte est lisible sur un autre poste de travail, le problème vient sans doute des APIs CPS ou du lecteur de carte(s). Réinstallez ou mettez à jour les APIs CPS, réinstallez votre lecteur de carte(s). Avant de configurer Sermentis, il faut configurer votre logiciel de courrier électronique en conséquence. Si vous ne l avez pas déjà fait, il est encore temps : suivez les instructions de la section «Préparer l installation». Faute de frappe, un doute sur les coordonnées du compte à sécuriser? Une fois passé l écran d accueil de l assistant Configuration, le bouton Précédent permet de revenir en arrière pour vérifier ou modifier les informations fournies à Sermentis. Le bouton Aide de l assistant de Configuration affiche la fenêtre d aide de Sermentis. Attention, le bouton Annuler ferme l assistant. Si le mot de passe protégeant l accès au mode secours est refusé, vérifiez que vous avez bien indiqué un mot de passe comportant 8 caractères mélangeant chiffres, lettres minuscules et lettres majuscules. Attention également à ne pas faire de faute de frappe lors de la saisie confirmant le mot de passe. Le téléchargement des éléments nécessaires au fonctionnement du système CPS est une étape indispensable. En cas d échec du téléchargement, cliquez sur le bouton Annuler, puis sur le bouton Précédent de l assistant. Ensuite, cliquez sur le bouton Suivant pour revenir à la mise à jour de la base de sécurité et cliquez sur le bouton Exécuter. Si le message d échec persiste, abandonnez la configuration pour la reprendre ultérieurement. Tant que Sermentis n est pas convenablement configuré, l assistant de configuration se lance automatiquement au démarrage. Sermentis garde en mémoire les informations concernant le compte de messagerie à sécuriser, mais vous devez cliquer sur le bouton Inscrire pour renouveler votre demande d inscription et obtenir votre certificat de confidentialité. 18

Pour relancer manuellement l assistant de configuration, suivez l une de ces procédures : Cliquez avec le bouton droit sur l icône de Sermentis qui se trouve dans la zone de notification tout à fait à droite de la barre des tâches de Windows pour ouvrir le menu. Ensuite, cliquez sur la commande Configuration pour lancer l assistant. Si l icône de Sermentis n est pas dans la barre des Tâches, c est que le logiciel a été fermé. Doublecliquez sur l icône du bureau pour lancer Sermentis, ouvrir une session et accéder au menu général. Si la session a été fermée, la commande Configuration n est pas disponible. Ouvrez le menu d un clic droit, puis cliquez sur la commande Ouvrir une session pour afficher la fenêtre de saisie du code porteur de votre carte CPS. Indiquez le code et validez. Si l assistant ne se lance pas automatiquement, ouvrez de nouveau le menu d un clic droit et cliquez sur la commande Configuration pour lancer l assistant. Vous ne recevez pas votre avis d inscription suite à votre demande certificat : Dans certains cas, votre inscription est refusée, notamment si l'adresse email que vous voulez sécuriser est déjà attribuée à une autre personne. Vous recevrez alors un message d échec. Pour connaître les raisons de cet échec, ouvrez la pièce jointe de ce message pour lire la réponse initiale du GIP «CPS». Si vous recevez un avis de révocation, c est que vous avez demandé l'inscription d'une adresse mail pour laquelle vous possédez déjà un certificat. L ancien certificat est alors automatiquement révoqué, d où ce message, et un nouveau certificat vous sera délivré. Vous en serez informé par un autre message émanant du GIP «CPS». Si le GIP «CPS» ne renvoie ni message ni certificat, prenez contact avec le GIP «CPS», qui est en mesure d indiquer la cause du non traitement. Il faudra vous réinscrire au service pour obtenir un nouveau certificat, ce qui provoquera automatiquement la révocation du certificat préalablement demandé. 19

4-4 EN SAVOIR PLUS Sécuriser le compte de messagerie Lors de la phase de préparation, vous avez fait en sorte que votre logiciel de messagerie contacte Sermentis, et non pas les serveurs de messagerie, à chaque opération de réception/émission du courrier. En indiquant à l assistant les coordonnées du compte à sécuriser, vous autorisez Sermentis à envoyer et à réceptionner le courrier à la place de votre logiciel de messagerie. Sans carte CPS oubli, panne de lecteur, etc., Sermentis fonctionne en mode «secours» et les fonctionnalités sont restreintes : vous ne pourrez pas signer les messages envoyés car la carte CPS est nécessaire aux opérations de signature. En revanche, le mode «secours»permet de déchiffrer le courrier reçu et de chiffrer le courrier envoyé. Les certificats de l autorité racine GIP «CPS» Les procédures de sécurisation des services CPS reposent sur des petits fichiers : les certificats, émis par l autorité GIP «CPS». Cette autorité contrôle l émission des certificats, tout comme la préfecture contrôle l émission des passeports. Les certificats font office de pièce d identité lors des échanges électroniques. Avant de faire confiance aux informations portées sur une pièce d identité, on vérifie d abord le support papier utilisé et le tampon de la préfecture ayant délivré la pièce. Mais encore faut-il savoir à quoi ressemble papier et tampon! Sur votre ordinateur, l équivalent du papier et du tampon de la préfecture, ce sont les certificats de l autorité racine GIP «CPS». D un point de vue humain, le GIP «CPS» est une entité hiérarchisée composée de plusieurs personnes : un directeur, un directeur adjoint, plusieurs services, etc. Dans un contexte cryptographique, c est aussi une entité hiérarchisée, mais composée d autorités. La plus haute autorité est appelée l autorité racine. L'autorité racine signe les certificats émis par les sous-autorités en charge des services administratifs comme les autorités de certification (délivrance des certificats) et de révocation (annulation des certificats). Pour utiliser les certificats des sous-autorités en toute confiance, il faut d abord installer le certificat des autorités racine ayant émis les certificats en question. Compléter la base de sécurité Lors de l étape précédente, Sermentis a installé les certificats racine permettant de vérifier l authenticité et l intégrité des certificats «administratifs» nécessaires à la bonne marche des services CPS. Pour compléter cette base de sécurité, Sermentis doit télécharger d autres éléments : certificat d enregistrement et de révocation, certificats des autorités intermédiaires et listes de révocation. Sans ces éléments, aucune opération de cryptographie n est possible et vous ne pourrez pas passer à l étape suivante. Une fois configuré, Sermentis devra se connecter régulièrement aux serveurs du GIP «CPS» pour mettre à jour la base de sécurité. Le certificat d enregistrement servira à chiffrer votre demande de certificat de confidentialité, demande qui sera effectuée à l étape suivante. Dans la foulée, Sermentis télécharge aussi le certificat destiné à chiffrer une demande de révocation, au cas où vous perdriez votre certificat de confidentialité. Révoquer un certificat consiste à informer l autorité de certification que celui-ci n est plus valable, par exemple s il a été perdu ou détruit. Sermentis télécharge aussi les certificats «administratifs» des autorités de certification intermédiaires, nécessaires à 20

la bonne marche du service. Lorsqu un certificat est révoqué, à la demande de son propriétaire ou à la demande de l autorité de certification ayant émis le certificat, l autorité de révocation doit en informer rapidement tous les utilisateurs. L autorité de révocation publie donc la liste des certificats révoqués, à l instar de la Banque de France qui liste régulièrement les chéquiers mis en opposition. Le téléchargement des listes de révocation s effectue en deux temps : après avoir téléchargé les listes complètes, Sermentis télécharge les «delta-listes» disponibles, qui consignent toutes les modifications apportées aux listes depuis leur dernière version publiée. En quelque sorte, les delta-listes sont des mises à jour des listes de révocation. Ces modifications seront incorporées dans les prochaines listes de révocation, tandis que les modifications ultérieures feront l objet de nouvelles delta-listes. Grâce aux delta-listes, on peut suivre précisément les révocations tout en minimisant les temps de téléchargement. Générer les clés de chiffrement/déchiffrement Une fois la base de sécurité mise à jour, Sermentis est en mesure de réaliser votre première opération cryptographique : générer vos clés de confidentialité. Il y a deux clés : une clé privée et une clé publique. La clé publique est envoyée au GIP «CPS» pour sa certification : c est la procédure d inscription. S inscrire auprès des services CPS S inscrire auprès des services CPS consiste à demander un certificat pour la clé publique qui vient d être générée par Sermentis. Attention : la présence de la carte CPS est indispensable pour l inscription. Ne touchez pas au lecteur ou à la carte pendant cette opération! Lorsque la clé publique aura été certifiée, elle sera mise à disposition de vos correspondants, qui pourront alors l utiliser pour chiffrer des messages à votre intention. Sermentis «rédige», signe (à l aide du certificat de signature de votre carte CPS) et chiffre la demande à l attention du serveur d inscription. Cette demande contient deux éléments essentiels : l adresse électronique à sécuriser et la clé publique qui lui sera associée. Pour toute demande d inscription, l autorité de certification GIP «CPS» vérifie : la signature, donc l'identité du demandeur et l intégrité des informations fournies ; que l'identité demandée pour le nouveau certificat est bien celle de celui qui a signé la demande ; que l'adresse électronique à certifier est libre. Si celle-ci est déjà certifiée pour la même identité, les certificats précédents sont automatiquement révoqués. Ensuite, l autorité édite et signe votre certificat personnel de confidentialité, puis l envoie à votre adresse électronique sécurisée, celle qui est mentionnée dans le certificat. Réception et installation du certificat de confidentialité Dès réception de votre certificat de confidentialité, votre clé privée, jusqu à présent en attente, est associée au certificat contenant la clé publique correspondante. Vous êtes désormais en mesure d utiliser cette clé pour déchiffrer les messages qui vous sont adressés. La clé privée servant à déchiffrer votre correspondance se trouve sur votre disque dur, protégée par Sermentis. La clé publique correspondante est publiée sous forme de certificat dans l annuaire du GIP «CPS» afin que l on puisse vous adresser des messages chiffrés. 21

5. L interface de Sermentis Sermentis se traduit par une simple icône dans la zone de notification de la barre des Tâches de Windows. Cette icône indique le statut Sermentis et donne accès au menu général. 5-1 OUVRIR UNE SESSION AU DEMARRAGE DE WINDOWS Une fois configuré, Sermentis se lance automatiquement au démarrage de l ordinateur et affiche la fenêtre Ouverture de session. Insérez votre carte dans le lecteur, saisissez le code porteur de la carte et cliquez sur le bouton fléché >> pour valider. Une session reste ouverte tant qu elle n'a pas été fermée volontairement par l utilisateur depuis le menu général. Par défaut, Sermentis contrôle la présence de la carte CPS et demande le code porteur uniquement à l ouverture d une session. Pour élever le niveau de sécurité, les options de configuration offrent la possibilité de contrôler carte et code porteur lors de chaque opération de cryptographie (signature et/ou chiffrement), ou bien périodiquement, toute les x minutes. (Cf. «Configuration»). Ouvrir une session avec une carte CPS autre que celle utilisée lors de la configuration initiale lance automatiquement l assistant de configuration en vue de procéder à l'inscription du nouvel utilisateur. Attention, tout utilisateur de Sermentis doit posséder une licence d utilisation Medsys. La couleur de l icône indique le statut de Sermentis Si l'icône est bleue : une session est ouverte et il n'y a pas d'opération en cours. Si l'icône est grise : aucune session n'est ouverte. Si l'icône est jaune : une session est ouverte et une opération est en cours. Survolez l'icône avec le pointeur pour afficher le détail de la tâche en cours. Si l'icône est verte : une session est ouverte et un message est en attente d'être relevé. Si l'icône est violette : Sermentis est en train de télécharger les éléments permettant de mettre à jour la base de sécurité. Lorsque Sermentis effectue une tâche, une fenêtre fugitive apparaît en bas et à droite de votre écran. Elle permet de suivre l'évolution du travail effectué par Sermentis. 5-2 LE MENU GENERAL Un clic sur l icône de la barre des tâches ouvre le menu général. Lorsqu une commande est grisée, celle-ci n est pas accessible. Ce menu permet d ouvrir ou de fermer une session, de fermer Sermentis, d accéder à l aide et aux outils, de déléguer le traitement du courrier, de modifier la configuration de Sermentis et de gérer la base de sécurité. 22

Tout en haut du menu, un intitulé indique le statut de Sermentis : session fermée, session ouverte en mode Etendu (mode normal) ou bien en mode Secours (mode dégradé, sans carte CPS). 5-3 FERMER ET OUVRIR UNE SESSION, QUITTER ET LANCER SERMENTIS La commande Fermer la session permet de fermer la session en cours, sans pour autant arrêter Sermentis. Pour confirmer la fin de la session, cliquez sur Oui. Cliquer sur Non annule la fermeture de session. Après fermeture de la session, une boîte de dialogue vous demande de retirer votre carte CPS du lecteur. Cliquez sur Valider pour refermer la fenêtre. Aucune opération ne peut être réalisée avec la session fermée. Lorsque la session est fermée, la commande Fermer la session est aussitôt remplacée par la commande Ouvrir une session. La commande Ouvrir une session affiche la boîte de dialogue destinée à saisir le code porteur de la carte CPS insérée dans le lecteur. La commande Arrêt du service ferme Sermentis. Une boîte de dialogue vous demandera confirmation avant l arrêt de Sermentis : cliquez sur Oui pour quitter le logiciel. Pour démarrer Sermentis sans relancer Windows, double cliquez sur le raccourci placé sur le bureau lors de l installation. 23

6. Signer et chiffrer les messages Une fois la session ouverte, vous n avez rien d autre à faire si ce n est utiliser votre logiciel de messagerie et votre compte sécurisé comme d habitude, ou presque! 6-1 LES OPTIONS DE SECURITE A chaque fois que vous cliquez sur le bouton Envoyer de votre logiciel de messagerie après avoir rédigé un message, Sermentis affiche automatiquement la fenêtre Options de sécurité. Sermentis offre la possibilité d adapter ce comportement à vos habitudes de travail par l intermédiaire des options de configuration. (cf. «Configuration»). Définissez les options de sécurité à appliquer Pour signer un message, cochez tout simplement l option Signer. Cette option permet de prouver l identité du signataire (authentification) et de vérifier que le message n a pas été modifié après avoir été signé (intégrité). Cette opération, qui réclame la présence de la carte CPS, n est pas disponible en mode «secours». Pour rendre ce message confidentiel, donc illisible par toute personne autre que son destinataire, cochez simplement l option Chiffrer. Si aucune option n est cochée, le message sera expédié tel quel, ni signé, ni chiffré. Pour expédier le message, cliquez sur Envoyer. Pour annuler l envoi, cliquez sur Annuler. Le chiffrement s effectue grâce à la clé publique stockée dans le certificat de confidentialité du correspondant. Le succès du chiffrement dépend de la disponibilité et de la validité du certificat de confidentialité du correspondant. Si le certificat a déjà été enregistré dans l annuaire des correspondants, Sermentis est en mesure de chiffrer le message avant de l envoyer effectivement. (cf. «Gestion des certificats») Si le certificat n est pas enregistré dans l annuaire des correspondants, Sermentis doit se connecter à l annuaire du GIP «CPS» pour récupérer le certificat et chiffrer le message. Si la fonction «Recherche automatique des certificats» est activée, ce qui est le cas par défaut, Sermentis se connecte automatiquement aux serveurs du GIP «CPS» pour rechercher le certificat de confidentialité du correspondant en vue de chiffrer le message. 24

Si la fonction «Recherche automatique des certificats» a été désactivée (cf. «Configuration») Sermentis affiche un message d alerte indiquant que le chiffrement est impossible car le certificat de confidentialité associé à l adresse électronique du correspondant est introuvable. Vous avez alors deux possibilités : renoncer au chiffrement et expédier le message en cliquant sur le bouton Envoyer sans chiffrer, ou bien Abandonner l envoi du message Les options de signature et de chiffrement sont indépendantes : si le message est signé, cliquer sur le bouton Envoyer sans chiffrer déclenche l envoi du message signé. Une fois le certificat trouvé, Sermentis vérifie sa validité avant de l utiliser. Si le certificat du correspondant est valide, le message sera chiffré avant d être envoyé. Une fois l adresse électronique vérifiée, le certificat du correspondant est automatiquement ajouté à l'annuaire des correspondants. Si le certificat du correspondant n est pas valide (cas du certificat révoqué), la fenêtre d alerte s affiche et vous propose d envoyer sans chiffrer, ou bien d abandonner l envoi du message Il parait naturel de tester Sermentis en s envoyant un message. Si ce message est seulement signé, cela ne posera aucun problème. En revanche, vous ne pourrez pas vous envoyer un message chiffré avant d avoir reçu la confirmation de votre inscription et le certificat de confidentialité qui vous a été attribué. Dans le même ordre d idée, vous ne pourrez pas non plus chiffrer de message à l attention d un utilisateur qui vient juste de s inscrire auprès des services CPS. Il faudra pour cela attendre la publication de son certificat de confidentialité dans l annuaire du GIP «CPS» pour que Sermentis puisse y accéder. Sermentis ne réalise pas de recherche automatique de certificat sur des serveurs autres que ceux du GIP «CPS». Pour chiffrer un message à l'intention d'un correspondant non GIP «CPS», il sera donc nécessaire d'importer manuellement son certificat de confidentialité dans l'annuaire des correspondants de Sermentis avant de chiffrer le message. (cf. «Annuaire/Base de sécurité») les certificats des correspondants non GIP «CPS» doivent impérativement être associés à une adresse électronique et être référencé par une autorité de certification reconnue, sinon vous ne pourrez pas les enregistrer dans l'annuaire de Sermentis. Pour utiliser ces certificats, il faut faudra aussi importer les certificats du chemin de confiance correspondant, c est-àdire les certificats des autorités racine, des autorités «administratives», bref, importer tout les éléments de façon à disposer d une base de sécurité complète et cohérente. 25

6-2 DECHIFFRER UN MESSAGE ENVOYE La législation française impose à tout utilisateur d une messagerie sécurisée d être en mesure d effectuer, à la demande des autorités compétentes, le déchiffrement de tout message chiffré envoyé à un correspondant. Or, les messages étant chiffrés avec la clé publique du destinataire, seul celui-ci peut le déchiffrer à l aide de sa clé privée. Pour répondre cette exigence, Sermentis effectue un double chiffrement : un chiffrement traditionnel avec la clef publique du destinataire ; et un chiffrement dit «caché» avec la clef publique de l expéditeur, la vôtre en l occurrence. Si nécessaire, vous pourrez donc déchiffrer les messages envoyés à l aide de votre clé privée. Dans sa version actuelle, Sermentis déchiffre les fichiers de type «message» (.eml, etc.), c'est-à-dire les messages enveloppés dans une capsule S/MIME. Pour déchiffrer un message envoyé, ouvrez le menu général d un clic droit, activez la commande Outils et cliquez sur la commande Déchiffrer pour afficher la boîte de dialogue correspondante. Ensuite, cliquez sur le bouton Parcourir situé en regard de la zone Fichier à déchiffrer pour sélectionner le fichier en question. Dans la zone de saisie Fichier de sortie, indiquez le nom du fichier une fois déchiffré. Choisissez l extension de ce fichier en fonction du logiciel dans lequel vous souhaitez lire le message :.eml pour un logiciel de messagerie comme Outlook..txt pour le Bloc-notes de Windows, etc Cliquez sur le bouton Parcourir situé en regard de la zone Répertoire de sortie pour sélectionner un dossier dans lequel enregistrer le fichier de sortie. Pour finir, cliquez sur le bouton Déchiffrer pour lancer la procédure, ou bien sur Fin pour annuler. 26

7. Contrôler et lire les messages reçus Tous les messages entrants à destination de vos adresses sécurisées sont interceptés par Sermentis. 7-1 LE MESSAGE REÇU EST SIGNE ET/OU CHIFFRE Du point de vue de Sermentis, un message signé et/ou chiffré est un message sécurisé. Pour chaque message sécurisé, Sermentis produit un compte-rendu de sécurité qui vient se substituer au message reçu, lequel passe en pièce jointe du compte-rendu de sécurité. Lors de l envoi d un message, celui-ci est d abord signé, puis chiffré. Un message reçu est donc déchiffré, puis la signature est vérifiée. Lisez le compte-rendu de sécurité produit par Sermentis, qui décrit en détail toutes les propriétés du message. Ci-contre, le compte-rendu d un message signé et non chiffré. Le statut du message (message signé) s affiche en haut et à droite du compte-rendu de sécurité. La section Signature numérique détaille les opérations de contrôle et indique en clair nom et prénom du signataire. La section Chiffrement (Cryptage) indique que message initial et pièces jointes n ont pas été chiffrés par l expéditeur. Si aucun problème n est mentionné dans le compte-rendu de sécurité, ouvrez la pièce jointe pour lire le message reçu. Si Sermentis a détecté un problème, méfiance 7-2 LE MESSAGE REÇU N EST NI SIGNE NI CHIFFRE Du point de vue de Sermentis, un message non signé et non chiffré est un message non sécurisé. Son traitement dépend des options de configuration. (cf. Configuration) Conformément aux paramètres d installation par défaut, l'option «Contrôler le contenu» des messages non sécurisés est désactivée. Sermentis ne produit pas de compte rendu et le message figure dans la boîte de réception de votre logiciel de messagerie de la même manière que d'habitude. Si l'option «Contrôler le contenu» des messages non sécurisés est activée Sermentis analyse le message reçu et le contenu du message passe en pièce jointe du message principal. Le message reçu n étant pas sécurisé, le message principal n est pas un compte-rendu de sécurité, mais un message intitulé «Contrôle de contenu». 27

Lisez le contrôle de contenu. Celui-ci fait office d assistant anti-intrusion car il donne des informations très précises sur le contenu du message reçu émetteur, destinataire et liste des pièces jointes sans avoir besoin d ouvrir le message initial. Ouvrez la pièce jointe pour lire le message reçu 28

8. Optimiser la configuration Lors de l installation, Sermentis est configuré «par défaut», c est-à-dire avec les paramètres les plus usuels, pour vous permettre de sécuriser vos échanges électroniques. Regardons comment ajuster ces paramètres à vos besoins. Pour accéder aux options de configuration, ouvrez le menu général et cliquez (avec le bouton gauche!) sur la commande Configuration pour afficher la fenêtre correspondante, organisée en onglets. Les onglets Comptes sécurisés, Options de session et Avancé concernent le comportement général de Sermentis. Les onglets Contrôle de contenu, Adresses sécurisées, Avancé et Options de sécurité permettent d optimiser le traitement du courrier. C est également dans les options de sécurité que vous pourrez automatiser la recherche des certificats des correspondants et la mise à jour de la base de sécurité. 8-1 LES COMPTES SECURISES L onglet Comptes sécurisés mérite un chapitre à lui tout seul : c est en effet ici que vous pourrez gérer le ou les comptes sécurisés existants, et en créer de nouveaux. (Cf. «Gérer le ou les comptes sécurisés d un utilisateur») Sermentis est nativement multi-utilisateur. Pour déclarer un nouvel utilisateur, donc le porteur d une carte CPS autre que celle(s) ayant servi à créer le ou les comptes existants, la procédure est similaire à celle que vous avez utilisée pour créer le premier compte lors de l installation. Toutes les opérations liées à la gestion des comptes sécurisés modifier, créer, supprimer, sauvegarder, restaurer, révoquer sont expliquées dans la section «Gérer le ou les comptes sécurisés d un utilisateur». Dans le cas d un nouvel utilisateur, reportez vous à la section «Fonctionnement multi-utilisateur / Déclarer un nouvel utilisateur». 8-2 LES OPTIONS DE SESSIONS Le contrôle de la présence de la carte CPS associée au compte sécurisé est un élément important de l environnement de sécurité. Ce contrôle est automatique, mais vous pouvez en définir la fréquence dans l onglet Options de sessions de la fenêtre Configuration. L onglet Options de sessions propose trois options de contrôle de la présence de la carte CPS dans le lecteur de carte(s). Quelle que soit l option retenue, il faudra saisir le code porteur (code PIN) de la carte à l invite de Sermentis. Si le bon code n est pas saisi, aucune opération n est possible. 29

A l ouverture de session uniquement : Sermentis contrôle la présence de la carte CPS uniquement à l ouverture de chaque session. Si vous vous absentez lors d une session, un tiers peut déchiffrer vos messages ou bien utiliser votre compte pour envoyer un message chiffré. Si votre carte CPS est dans le lecteur, cette personne pourra usurper votre signature. Pour chaque signature ou chiffrement : Sermentis contrôle la présence de la carte CPS uniquement lors des opérations de cryptographie. Si vous vous absentez lors d une session, personne ne pourra déchiffrer vos messages, ni utiliser votre compte pour envoyer un message chiffré, ni usurper votre signature à moins de disposer de votre carte CPS ET du code porteur associé à la carte. Toutes les «x» minutes : Sermentis contrôle périodiquement la présence de la carte CPS pour une sécurité maximum. Après une période d inactivité de x minutes, la session est automatiquement fermée. 8-3 CONTROLER LE CONTENU DES MESSAGES REÇUS L onglet Contrôle de contenu concerne tous les messages reçus, sécurisés ou non. Tous les messages signés et/ou cryptés font l'objet d'un compte-rendu de sécurité remis sous forme de message dans l'agent de messagerie. Le message initial figure en pièce jointe du compte rendu. Vous pouvez demander à Sermentis de détailler ou non le compte rendu de sécurité. La section Messages non sécurisés concerne les messages «ordinaires», ceux qui sont ni signés ni cryptés. Lorsque l option Contrôler le contenu est activée, Sermentis intercepte ces messages et donne des informations très précises sur le contenu du message reçu émetteur, destinataire et liste des pièces jointes sans avoir besoin d ouvrir le message initial, lequel figure en pièce jointe du compte rendu. 8-4 LES OPTIONS DE SECURITE L onglet Options de sécurité de la fenêtre Configuration permet d optimiser le traitement du courrier ainsi que la gestion de l annuaire des correspondants et de la base de sécurité. Définir des règles générales pour tous les messages expédiés La section Règles générales de sécurité offre deux possibilités : décider de signer ou de chiffrer les messages au cas par cas, ou bien automatiser les opérations de signature et/ou de chiffrement, par exemple pour signer et /ou chiffrer systématiquement tous les 30

messages expédiés. Par défaut, l option Toujours demander est cochée, aucune règle n a été définie Sermentis affiche donc la fenêtre Options de sécurité à chaque fois que vous envoyez un message. Si l'option Signer tous les messages est cochée, tous les messages sortants seront signés avec la carte CPS. Si l'option Chiffrer tous les messages est cochée, tous les messages sortants seront chiffrés. Si les deux options Signer tous les messages et Chiffrer sont cochées, tous les messages sortants seront chiffrés et signés Rechercher automatiquement les certificats de confidentialité des correspondants Lorsque l option Rechercher les certificats en ligne est cochée, ce qui est le cas par défaut, Sermentis se connecte automatiquement aux serveurs du GIP «CPS» pour rechercher le certificat du correspondant afin de chiffrer le message à son attention. Lorsque cette option est décochée, vous devrez renoncer au chiffrement si le certificat de confidentialité du correspondant ne figure pas dans l'annuaire des correspondants au moment de l'envoi des messages. Automatiser la mise à jour de la base de sécurité Par défaut, l option Mise à jour automatique est cochée, la mise à jour de la base de sécurité est exécutée automatiquement dès que nécessaire, c'est-à-dire dès la prochaine échéance d'un certificat d'autorité ou d'une liste de révocation. Les dates affichées sont celles de la dernière et de la prochaine mise à jour. En cas de problème de connexion ou de tout autre événement empêchant le bon déroulement de la mise à jour, Sermentis refera automatiquement une nouvelle tentative dès le délai d attente écoulé. La durée de ce délai, exprimée en secondes, est précisée dans la zone Délais de retry. Lorsque l option Mise à jour automatique est décochée, la base de sécurité, qui contient les éléments essentiels à toute opération de cryptographie, doit être mise à jour manuellement dès que la validité d un élément arrive à échéance. Sermentis vous préviendra dès qu une mise à jour s impose. (Cf. Annuaire/Base de sécurité). 8-5 ADRESSES SECURISEES : DEFINIR DES REGLES SUPPLEMENTAIRES 31

L onglet Adresses sécurisées offre la possibilité de créer un masque d adresse. Un masque d'adresse permet de préciser quelle opération cryptographique sera appliquée à un destinataire donné. Pour définir un masque d adresse, cliquez sur le bouton Ajouter. Indiquez une adresse particulière, par exemple john.watson@sermentis.fr, ou bien saisissez le signe étoile suivi de l arobase et d un nom de domaine, par exemple *@sermentis.fr. cases correspondantes. Pour finir, cliquez sur Valider. Choisissez ensuite les options de sécurité à appliquer en cochant les Dans cet exemple, le profil associé au nom de domaine sermentis.fr impose que tous les messages expédiés à une adresse électronique du type xxxx@sermentis.fr soient systématiquement signés. Les règles générales de sécurité définies dans les Options de sécurité signer et/ou chiffrer sont appliquées à tous les messages sortants. Si l option Toujours demander est cochée, Sermentis applique les règles du masque d adresse défini dans l onglet Adresses sécurisées. Si aucun masque ni règle particulière n est défini, Sermentis présente les options de sécurité lors de l envoi. 8-6 LES OPTIONS AVANCEES La section Remise du courrier de l onglet Avancé offre la possibilité de conserver une copie des messages sur le serveur. Dans la section Fenêtre d'état, l'option Activer le détail des flux est cochée par défaut et lors des transferts des messages, la fenêtre de statut affiche la progression des tâches en cours, exprimée en nombre d'octets émis ou reçus. L option Prendre en compte doit être décochée. N activez pas cette option, sauf demande expresse du service de maintenance, car elle est réservée à des opérations très spécifiques. 32

9. Annuaire et base de sécurité La fenêtre Base de sécurité permet notamment de rechercher le certificat d un correspondant et de mettre à jour manuellement la base de sécurité. Lors de l installation de Sermentis, vous avez complété la base de sécurité en téléchargeant les certificats et listes de révocation nécessaires au fonctionnement des services CPS et installé votre certificat de confidentialité. Au fur et à mesure de l utilisation Sermentis, les certificats de confidentialité de vos correspondants viendront s ajouter à cette base de sécurité, qui fait alors office d annuaire des correspondants. Pour accéder à la base de sécurité, ouvrez le menu général et cliquez sur la commande Base de sécurité pour afficher la fenêtre correspondante. 9-1 LA FENETRE BASE DE SECURITE La fenêtre Base de sécurité est organisée en onglets. Chaque onglet correspond à une catégorie d information : Certificats personnels Certificats des correspondants Certificats des autorités Listes de révocation ou CRL L onglet Certificats personnels contient le certificat qui vous a été attribué par l autorité de certification GIP «CPS». Si vous avez sécurisé plusieurs adresses électroniques, vous disposez d un certificat par adresse. Sermentis étant multi-utilisateur, cet onglet rassemble tous les certificats associés aux utilisateurs de l ordinateur. Chaque utilisateur de Sermentis, identifié par son numéro national de Personnel de Santé, dispose au maximum de cinq certificats et chaque certificat doit être associé à une adresse électronique. L onglet Certificats d autorité rassemble les certificats des autorités de certification, qui sont essentiels à la bonne marche des services CPS. Ces certificats ont été téléchargés lors de l installation de Sermentis. Il existe plusieurs classes d'autorité : selon la catégorie professionnelle du demandeur, les certificats sont délivrés par les autorités AC-Classe 0, 1, 2, 3, 4 ou 5. Chaque 33

autorité signant les certificats signe aussi les listes CRLs (listes de révocation) permettant de vérifier que les certificats n ont pas été révoqués. L onglet Listes de révocation rassemble toutes les listes éditées par les autorités ayant délivré des certificats, en l occurrence l autorité racine et toutes les autorités intermédiaires. L onglet Certificats de correspondants fait office d annuaire : il contient notamment tous les certificats de confidentialité des correspondants auxquels vous avez déjà envoyé des messages chiffrés. Les deux certificats intitulés inscription.certif.gip-cps.fr un pour la révocation et un pour l inscription ont été enregistrés au moment de l installation de Sermentis. Votre propre certificat de confidentialité figure également dans cet onglet. L annuaire des correspondants s enrichit automatiquement au fur et à mesure de l utilisation de Sermentis si l option de configuration «Rechercher les certificats en ligne» est activée. Pour ajouter manuellement le certificat d un correspondant, cliquez sur le bouton Rechercher pour vous connecter à l annuaire du GIP «CPS», ou bien cliquez sur le bouton Importer si votre correspondant n utilise pas les services CPS. (Cf. Importer un certificat non GIP «CPS»). Pour supprimer un certificat, sélectionnez-le et cliquez sur le bouton Supprimer. 9-2 VISUALISER LES INFORMATIONS D UN CERTIFICAT L onglet Certificat de correspondants affiche pour chaque certificat diverses informations : Nom, adresse email associée, autorité ayant délivré le certificat, etc Pour visualiser l ensemble des informations concernant un certificat, cliquez sur son icône avec le bouton droit. Une nouvelle fenêtre rassemble trois catégories d information : Général : identité du propriétaire de ce certificat, nom de l'autorité l'ayant délivré, date de validité, adresse mail associée ; Détail : détail des champs du certificat ; Chemin d'accès de certification : liste des autorités de certification. 9-3 DEFINIR LE PROFIL DE SECURITE D UN CORRESPONDANT 34

Pour définir les règles de sécurité particulières qui doivent être appliquées à un correspondant, ouvrez la base de sécurité et double cliquez sur son certificat pour afficher le détail. Lorsque l option Appliquer les règles générales est cochée, les règles de sécurité appliquées (signer/chiffrer/ne rien faire/demander) sont celles qui sont définies dans l onglet Options de sécurité de la fenêtre Configuration. Pour définir un profil particulier, cochez ou décochez les options Signer et/ou Chiffrer en cliquant dans les cases adéquates. Cliquez sur le bouton OK pour valider. Ce profil a priorité sur le masque d adresse éventuel défini dans la fenêtre Configuration. Si l option Demander est cochée, Sermentis applique le masque d adresse ou, à défaut, présentera les options de sécurité lors de l envoi. 9-4 RECHERCHER LE CERTIFICAT D UN CORRESPONDANT Dans sa version actuelle, Sermentis recherche les certificats uniquement dans l annuaire sécurisé du GIP «CPS» ; les autres annuaires ne sont pas pris en charge. Pour rechercher le certificat d un correspondant au sein de l annuaire du GIP «CPS», cliquez sur le bouton Rechercher de l onglet Certificats de correspondants. La fenêtre Recherche d un correspondant propose plusieurs critères de recherche : nom, prénom, adresse email, catégorie professionnelle, ville ou annuaire. Actuellement, seul l'annuaire sécurisé du GIP «CPS», GIP-CPS SSL, est disponible. Cliquez dans les zones de saisies pour préciser votre requête, à l aide des critères, par exemple John Watson et Carnac. Ou bien john.watson@sermentis.fr. N hésitez pas utiliser les abréviations, par exemple DUP* pour trouver tous les noms commençant par les 3 lettres DUP, ou encore *sermentis.fr pour obtenir toutes les adresses liées à ce nom de domaine des utilisateurs inscrits aux services CPS. 35

Cliquez sur le bouton Rechercher. La page de recherche propose les 10 premières réponses à votre requête. Si l'information que vous recherchez ne s'y trouve pas, affinez votre requête en ajoutant ou en précisant un critère. Sélectionnez votre correspondant, puis cliquez sur le bouton Importer. 9-5 IMPORTER UN CERTIFICAT NON GIP «CPS» Pour correspondre avec une personne dont le certificat n'a pas été délivré par le GIP «CPS», vous devrez importer manuellement le certificat de votre correspondant et ceux des autorités de certification impliquées (donc autres que GIP «CPS») afin de disposer d environnement de sécurité cohérent. Le bouton Importer des onglets de la fenêtre Base de sécurité affiche le sélecteur de Windows. Pour importer un certificat stocké sur un disque dur ou un support amovible, sélectionnez-le et cliquez sur Ouvrir. Sermentis traite automatiquement les certificats normalisés aux formats p7c ou cer, donc des fichiers associés aux extensions.p7c ou.cer. Un certificat au format p7c contient une clé publique et le certificat associé. Suite à votre inscription, le GIP «CPS» vous a renvoyé votre certificat de confidentialité au format p7c. 9-6 MISE A JOUR MANUELLE DE LA BASE DE SECURITE Si l option de configuration Mise à jour automatique de la base de sécurité a été malencontreusement désactivée dans l onglet Option de sécurité de la fenêtre Configuration, il faudra procéder à une mise à jour manuelle à l invite de Sermentis. 36

Pour procéder manuellement à la mise à jour, ouvrez la Base de sécurité et cliquez sur le bouton Mise à jour de la base de sécurité. Dans la fenêtre Téléchargement des données de sécurité, sélectionnez ou désélectionnez les éléments qui seront mis à jour en cliquant dans les cases correspondantes. Il faut absolument décochez la case «connexion sécurisée (SSL). Cliquez sur le bouton Exécuter pour lancer la procédure. Au cours de cette opération, Sermentis se connecte aux serveurs du GIP «CPS» pour télécharger les mises à jour. 37

10. Gérer le ou les comptes sécurisés d un utilisateur C est au sein de la fenêtre Configuration que vous pourrez gérer les comptes existants et en créer de nouveaux, car un utilisateur de Sermentis peut disposer de plusieurs comptes de messagerie sécurisés, sous réserve de disposer des licences nécessaires. Pour afficher cette fenêtre, utilisez la commande Configuration du menu général. L onglet Comptes sécurisés affiche les paramètres du ou des comptes sécurisés attribués à l utilisateur ayant ouvert la session. L onglet est divisé en deux sections : Compte de messagerie et Certificat associé. Chaque compte de messagerie sécurisé, donc chaque adresse email sécurisée, est associée à un certificat. La section Compte de messagerie affiche les paramètres du compte sécurisé attribué à l utilisateur ayant ouvert la session. Si cet utilisateur ne possède qu un seul compte, les boutons fléchés situés à gauche du bouton Modifier sont inactifs. 10-1 MODIFIER OU SUPPRIMER UN COMPTE EXISTANT Affichez les coordonnées du compte à modifier dans la section Compte de messagerie. Si vous disposez de plusieurs comptes sécurisés, utilisez les boutons fléchés pour afficher celui que vous souhaitez supprimer ou modifier. Cliquez sur le bouton Modifier pour accéder aux paramètres du compte, par exemple pour changer le mot de passe ou le nom d utilisateur. Attention, modifier l adresse mail revient à créer un nouveau compte puisqu il faut obtenir le certificat correspondant. Pour supprimer un compte existant, cliquez sur le bouton Supprimer 10-2 REVOQUER UN CERTIFICAT La révocation s impose en cas de perte ou de vol de la clé privée, ou bien en cas de perte ou changement de carte CPS. Affichez les coordonnées du compte associé au certificat à révoquer dans la section Compte de messagerie. Si nécessaire, utilisez les boutons fléchés pour afficher le compte. Dans la section Certificat associé, cliquez sur le bouton Révoquer. 38

Attendez le message du GIP «CPS» faisant office d avis de révocation. Le message «Avis de révocation» est reçu dans deux cas : Vous avez demandé de manière explicite la révocation de l'un de vos certificats, par exemple en raison de la perte ou de la destruction de votre clé privée. Vous avez demandé l'inscription d'une adresse mail pour laquelle vous possédez déjà un certificat. L'ancien certificat est alors automatiquement révoqué, et un nouveau certificat vous sera délivré. Vous en serez informé par un autre message émanant du GIP «CPS». 10-3 SAUVEGARDER ET RESTAURER CLES ET CERTIFICAT Après chaque nouvelle inscription d'un utilisateur, il est fortement recommandé de sauvegarder clés et certificat associés à ce compte utilisateur. En effet, vous aurez besoin de cette sauvegarde en cas de changement de système d exploitation ou de réinstallation. Sauvegarder clés et certificat Si vous disposez de plusieurs comptes sécurisés, utilisez les boutons fléchés pour afficher le compte concerné dans la section Compte de messagerie. Dans la section Certificat associé, cliquez sur le bouton Sauvegarder. Dans le sélecteur, choisissez un nom et un emplacement de sauvegarde, de préférence une disquette que vous conserverez en lieu sûr. Par sécurité, clés et certificat sont chiffrés lors de la sauvegarde et l accès aux informations est protégé par la carte CPS de l utilisateur. Indiquez le mot de passe de sauvegarde qui vous sera demandé lors de la restauration. Restaurer clés et certificat Ouvrez une session avec la carte CPS de l utilisateur ayant réalisé la sauvegarde (vous, a priori). 39

Ouvrez la fenêtre Configuration. Si vous disposez de plusieurs comptes sécurisés, utilisez les boutons fléchés pour afficher le compte concerné dans la section «Compte de messagerie». Dans la section Certificat associé, cliquez sur le bouton Restaurer. Dans le sélecteur, localisez le fichier de sauvegarde au format P12 ou PFX et cliquez sur Ouvrir. Indiquez le mot de passe défini lors de la sauvegarde et validez. Les opérations d import/export des outils de chiffrement à des fins de sauvegarde et de restauration exigent la création d un fichier conforme aux normes PKCS#12 ou PFX. Un fichier de sauvegarde de certificat au format P12 ou PFX contient la clé privée, la clé publique et le certificat associé à la clé publique. 10-4 SECURISER UN NOUVEAU COMPTE Sécuriser un nouveau compte est très facile car la procédure est similaire à celle de l installation, lors de laquelle vous avez créé votre premier compte sécurisé. Avant de créer un nouveau compte de messagerie sécurisé dans Sermentis, installez la licence correspondante. Ouvrez votre logiciel de messagerie pour créer le compte en indiquant localhost en lieu et place des paramètres Serveur POP (courrier entrant) et Serveur SMTP (courrier sortant). Ouvrez le menu général de Sermentis pour activer la commande Configuration. Dans l onglet Comptes sécurisés, cliquez sur le bouton Ajouter de la section Compte de messagerie. 40

Saisissez les caractéristiques du nouveau compte de messagerie en indiquant les adresses réelles des serveurs POP et SMTP (celles qui étaient configurées dans votre agent de messagerie et que vous avez remplacées par localhost). Dans la section Certificat associé : cliquez sur le bouton Inscrire pour générer les outils de chiffrement, puis demander votre certificat de confidentialité, comme vous l avez fait lors de l installation de Sermentis. cliquez sur le bouton Restaurer si vous possédez une sauvegarde des certificats associés à cette adresse mail afin de les restaurer. 41

11. Fonctionnement multi-utilisateur Sermentis est nativement multi-utilisateur. Pour déclarer un nouvel utilisateur, donc le porteur d une carte CPS autre que celle(s) ayant servi à créer le ou les comptes existants, il faut obtenir et installer la licence correspondant à la nouvelle adresse, puis ouvrir une nouvelle session avec la nouvelle carte CPS. 11-1 DECLARER UN NOUVEL UTILISATEUR La procédure est similaire à celle utilisée pour créer le premier compte lors de l installation. Après saisie du code porteur, Sermentis détecte automatiquement que le possesseur de la carte ne possède pas de compte sécurisé sur cet ordinateur et lance l assistant de configuration. Cliquez sur Suivant et suivez les instructions détaillées dans la section Configurer avec l assistant. 11-2 CHACUN SA MESSAGERIE Si plusieurs logiciels de messagerie sont installés sur l ordinateur, il est tout à fait possible de les utiliser indifféremment avec Sermentis, pourvu que toutes les adresses des serveurs POP et SMPTP soient réglées sur localhost. Par ailleurs, il est donc très facile de changer de logiciel de messagerie puisque la configuration de Sermentis reste identique. 11-3 CHANGER D UTILISATEUR Pour changer d utilisateur, inutile de fermer Sermentis en arrêtant le service. Il suffit de fermer la session en cours afin que l utilisateur suivant puisse ouvrir une nouvelle session avec sa propre carte CPS. 42

12. Déléguer le traitement du courrier La délégation est le procédé sécurisé par lequel le Docteur A, qui s'absente, autorise une personne B à relever et à déchiffrer son courrier. La délégation peut s'effectuer sur l ordinateur du Docteur A, ou bien sur celui de la personne B, à condition d installer Sermentis sur l ordinateur B. Le Docteur A celui qui délègue est appelé le délégant. La personne B, qui traite le courrier du Docteur A en son absence, est appelée le délégataire. Le délégataire utilise sa propre carte CPS, il ne pourra donc pas signer le courrier à la place du Docteur A. La délégation revient à autoriser un tiers de confiance l'usage du jeu de clés contenant la clé privée permettant de déchiffrer le courrier. 12-1 EXPORTER LES OUTILS DE CHIFFREMENT DU DELEGANT La délégation revient à associer un nouvel utilisateur, le délégataire, à l adresse électronique sécurisée du délégant. Ce qui se traduit dans Sermentis par un nouveau compte sécurisé, le compte délégué, associé à la carte CPS du délégataire. Le compte délégué est aussi associé aux outils de chiffrement du délégant afin de pouvoir relever et déchiffrer son courrier. Avant de mettre en place la délégation, il faut donc exporter clés et certificat du délégant, c est-à-dire créer un fichier de sauvegarde au format p12 comme décrit dans la section 10-3. Seul le délégant peut créer ce fichier car les opérations de sauvegarde nécessitent la carte CPS du titulaire du compte. Le fichier de sauvegarde est protégé par un mot de passe et il ne pourra être utilisé (ouverture, copie, restauration) qu en présence de la carte CPS du délégant, celui qui a généré le fichier de sauvegarde. Toutes les étapes de la mise en place de la délégation décrites ci-après s enchaînent obligatoirement. A la fin de la procédure, la durée de la délégation sera définie en précisant une date d échéance. La mise en place de la délégation nécessite la présence du délégant et celle du délégataire. Le délégataire doit disposer d une carte CPS et d un compte utilisateur Sermentis sur l ordinateur qui relèvera effectivement le courrier en l absence du délégant. 12-2 DELEGUER SUR L ORDINATEUR DU DELEGANT Le délégant utilise sa carte CPS pour ouvrir une session Sermentis sur son ordinateur. Pour mettre en place la délégation, ouvrez le menu général d un clic droit et cliquez, avec le bouton gauche, sur la commande Délégations. Sermentis vous demande alors votre statut, Délégant ou Délégataire. 43

Cliquez sur le bouton Délégant pour mettre en place une délégation dite «mode1» : le délégataire utilisera l ordinateur du délégant pour traiter son courrier. L assistant récapitule les étapes de la délégation. Cliquez sur Continuer pour afficher l explorateur de Windows. Localisez le fichier au format p12 contenant les outils de chiffrement du délégant, puis cliquez sur Enregistrer pour utiliser le jeu de clés. Saisissez le mot de passe de sauvegarde défini lors de l'exportation des outils de chiffrement. Sermentis est alors en mesure de lire, de déchiffrer et de mémoriser les informations. Une fois le décodage des données terminé, cliquez sur Valider, fermez votre session «délégant» et retirez votre carte CPS du lecteur. Insertion de la carte CPS du délégataire, saisie du code porteur et ouverture d une session «délégataire» 44

et création du compte de messagerie du délégataire. Ce compte est automatiquement associé à l adresse électronique du délégant, celle-là même qui est mentionnée dans le certificat public de confidentialité contenu dans le fichier de sauvegarde au format p12 du délégant. Complétez les informations permettant de relever la messagerie du délégant et validez. Utilisateur/Mot de passe : ceux du délégant. Ce compte spécial est appelé «compte délégué». Dernière étape, indiquer quand se termine la délégation : utilisez si nécessaire les boutons fléchés pour afficher un autre mois de l année, puis cliquez sur l un des chiffres du calendrier et validez. La délégation est désormais effective et la session en cours, initiée avec la carte CPS du délégataire, reste ouverte. Outre le compte «propriétaire» du délégant, il y a désormais un compte supplémentaire sur l ordinateur du délégant, le compte «délégué» du délégataire. Celui-ci peut relever et déchiffrer le courrier du délégant 45

12-3 DELEGUER SUR L ORDINATEUR DU DELEGATAIRE Le délégataire utilise sa carte CPS pour ouvrir une session Sermentis sur son ordinateur. Pour mettre en place la délégation, ouvrez le menu général d un clic droit et cliquez, avec le bouton gauche, sur la commande Délégations. Sermentis vous demande alors votre statut, Délégant ou Délégataire. Cliquez sur le bouton Délégataire pour mettre en place une délégation dite «mode2» : le délégataire utilisera son ordinateur pour traiter le courrier du délégant L assistant récapitule les étapes de la délégation. Cliquez sur Continuer. Il faut ensuite ouvrir une session «délégant» afin que Sermentis puisse utiliser les outils de chiffrement du délégant : retrait de la carte CPS du délégataire, insertion de la carte CPS du délégant, saisie du code porteur et ouverture d une session «délégant». Sermentis affiche l explorateur de Windows. Localisez le fichier au format p12 contenant les outils de chiffrement du délégant, puis cliquez sur Enregistrer pour utiliser le jeu de clés. Saisissez le mot de passe de sauvegarde défini lors de l'exportation des outils de chiffrement du délégant au format p12, puis validez. Sermentis est désormais en mesure de lire, de déchiffrer et de mémoriser les informations 46

Une fois le décodage des données terminé, cliquez sur Valider afin de fermer la session «délégant». Le délégant retire sa carte, le délégataire insère sa carte CPS, saisi son code porteur et clique sur le bouton fléché pour valider. Sermentis ouvre alors la fenêtre Création du compte de messagerie du délégataire. Ce compte est automatiquement associé à l adresse électronique du délégant, celle-là même qui est mentionnée dans le certificat public de confidentialité contenu dans le fichier de sauvegarde au format p12 du délégant. Complétez les informations permettant de relever la messagerie du délégant et validez. Utilisateur/Mot de passe : ceux du délégant. Ce compte spécial est appelé «compte délégué». Indiquez la date à laquelle la délégation prend fin et validez. Sermentis utilise les outils de chiffrement du délégant pour créer le compte «délégué». Cliquez sur Valider pour revenir à la session délégataire en cours. Outre le compte «propriétaire», il y a désormais un compte supplémentaire sur l ordinateur du délégataire, le compte «délégué» qui lui permettra de relever et de déchiffrer le courrier du délégant. 47

Le délégant ne confie pas sa carte CPS au délégataire ; par l intermédiaire de Sermentis, le délégant confie uniquement ses outils de chiffrement au délégataire, sous la forme d un fichier sécurisé. Le délégataire utilise sa propre carte CPS pour relever la messagerie du délégant. Le délégataire peut relever le courrier du délégant jusqu'à la date limite imposée lors de la mise en place de la délégation, à moins que le certificat de confidentialité du délégant n ait été révoqué entre-temps. Les outils de chiffrement du délégant, bien que confiés au délégataire, ne pourront pas être sauvegardé ou copier par ce dernier. En effet, toute manipulation de ces données exige la présence de la carte CPS du délégant. 48

13. Le mode de secours ou mode dégradé Si votre carte CPS est indisponible, par exemple en cas de perte ou d oubli, le mode de secours vous permettra de déchiffrer les messages reçus et d expédier des messages chiffrés. En revanche, vous ne pourrez pas signer les messages puisque les outils de signature sont stockés dans la carte CPS. Pour accéder au mode de secours, également appelé mode dégradé, ouvrez une session, mais au lieu d introduire la carte et de saisir le code porteur à l invite de Sermentis, fermez la fenêtre en cliquant sur sa case de fermeture. Sermentis affiche aussitôt une demande de confirmation. Cliquez sur Oui pour utiliser le mode de secours. Indiquez le mot de passe de secours défini lors de l installation. Dans la zone Votre numéro d identification national, saisissez le numéro imprimé sur votre carte CPS, juste au-dessus des nom et prénom du porteur. Cliquez sur le bouton Valider. 49

14. Désinstallation Pour désinstaller Sermentis, il faut fermer le logiciel, puis ouvrir le Panneau de configuration de Windows pour supprimer Sermentis. Ouvrez le menu général de Sermentis d un clic droit sur l icône de la barre des Tâches et cliquez, avec le bouton gauche, sur la commande Arrêt du service. Cliquez sur Oui pour confirmer l arrêt du service. Ouvrez le Panneau de configuration de Windows depuis le menu Démarrer. Si votre menu est un menu «classique», activez les commandes Paramètres puis Panneau de configuration. Au sein du Panneau de configuration, double cliquez sur l icône Ajout/Suppression de programmes. Dans la liste des programmes, sélectionnez Sermentis et cliquez sur le bouton Supprimer. Windows affiche alors une fenêtre de confirmation. Cliquez sur Oui et le programme se désinstallera automatiquement. 50