PGSSI-S : Politique générale de sécurité des systèmes d’information de santé Référentiel d’authentification des patients « ASIP Santé / Pôle Technique et Sécurité » Identification du document Référence ASIP_PGSSI_Referentiel_Authent-Patients_V0 0 1.Docx Etat En cours Rédaction (R) ASIP Santé / PTS Version V 0.0.1 Classification Diffusion restreinte GT PGSSI Nombre de pages 7 Destinataires externes Nom / Prénom GT PGSSI Entité / Direction Nature de la diffusion Documents de référence Référence n°1 : PGSSI-S – Référentiel d’authentification des acteurs de santé Référence n°2 : Référentiel général de sécurité (RGS) et ses annexes Référence n°3 : Note ANSSI - Recommandations de sécurité relatives aux mots de passe Référence n°4 : PGSSI-S – Principes fondateurs Référence n°5 : PGSSI-S – Analyse juridique relative à la prise en compte dans les systèmes d’information de santé des droits des personnes et de la protection de leurs données 6. Référence n°6 : PGSSI-S - Règles pour la mise en place d’un accès par des tiers au SIS 1. 2. 3. 4. 5. Historique du document Version Date Auteur V 0.0.1 Avril 2013 ASIP Santé / PTS Commentaires Diffusion d’une première version du document aux membres du GT SSI ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 Sommaire 1 Objet du document ......................................................................................................... 3 2 Périmètre d’application du référentiel ............................................................................. 4 3 Définition de l’authentification des patients ..................................................................... 5 4 Authentification « publique » des patients....................................................................... 6 5 Authentification « privée » des patients .......................................................................... 6 5.1 Palier 2 de l’authentification privée .......................................................................... 6 5.2 Palier 1 de l’authentification privée .......................................................................... 6 5.3 Règles complémentaires pour la mise en place de l’authentification des patients sur un SIS ................................................................................................................................ 7 6 Offre industrielle ............................................................................................................. 7 7 Impact sur les pratiques professionnelles ....................................................................... 7 Classification : Diffusion restreinte GT PGSSI 2/7 ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 1 Objet du document Le présent document constitue le référentiel d’authentification des patients de la politique générale de sécurité des systèmes d’information de santé. Il fait partie des référentiels thématiques techniques de la PGSSI-S. Figure 1 : Organisation du corpus documentaire de la PGSSI-S Le présent référentiel définit les dispositifs utilisables pour authentifier un patient, vis-à-vis d’un Système d’Information de Santé (SIS). L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine. Généralement, l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaitre du système au moyen d’un élément dont on l’a doté. En d’autres termes, s’identifier consiste à communiquer une identité préalablement enregistrée, s’authentifier consiste à apporter la preuve de cette identité (source RGS). Les enjeux de l’authentification sont détaillés dans les documents de référence n°2 et 4 ainsi que dans la fiche 3 du document de référence n°5. Classification : Diffusion restreinte GT PGSSI 3/7 ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 Deux périmètres sont distingués pour la mise en place de la fonction d’authentification d’un acteur (y compris le patient) : Authentification « publique » : pour l’authentification publique, les dispositifs doivent pouvoir être reconnus quel que soit le responsable de traitement mettant en œuvre la fonction d’authentification et l’acteur qui souhaite s’authentifier. Le dispositif d’authentification utilisé pour ce faire doit être associé à un identifiant de portée nationale Authentification « privée » : pour l’authentification privée, les dispositifs sont choisis par le responsable de traitement sur la base d’une analyse de risques. Ils sont associés à des identifiants de portée nationale ou de portée locale. L’authentification privée n’est possible que dans le cadre d’une relation formalisée entre le responsable de traitement et les utilisateurs qui en bénéficient. Cette relation peut être spécifiquement créée par exemple dans le cadre d’un contrat (contrat de prestation de service, convention de partenariat, etc.). Ce document s’adresse aux personnes impliquées dans la mise en œuvre de la politique de sécurité de systèmes d’information de santé. Dans leur contexte, ce document permet aux responsables de traitement de choisir ou de définir les procédés d’authentification en fonction des dispositifs d’authentification acceptables et de leurs conditions d’emploi. Il s’adresse aussi aux fournisseurs de produits ou de services utilisés dans le cadre de systèmes de santé. En effet, ces fournisseurs doivent offrir des solutions qui mettent en œuvre les dispositifs identifiés dans le présent référentiel et respectent leurs conditions d’emploi définies. Pour des raisons de cohérence inter-référentiel, le présent référentiel suit la même structure et utilise les mêmes éléments que le document de référence n°1 tout en les limitant au cas des patients. Afin d’éviter les indirections et de fournir un document le plus autoporteur possible, certains éléments du document de référence n°1 sont directement repris. Ainsi, toute mise à jour de ces éléments dans l’un de ces deux référentiels devra être traduite sur l’autre référentiel. 2 Périmètre d’application du référentiel Le cartouche ci-après présente de manière synthétique le périmètre d’application du référentiel d’authentification des patients. Médico Social Santé Production des soins Fonctions supports à la production de soins Coordination des soins Vigilance et alertes sanitaires Recherche clinique Enseignement et études en santé publique Commentaire La présente version du référentiel est applicable dans le cadre des usages santé ci-dessus du moment que ces usages permettent l’accès aux patients. Le périmètre d’application sera élargi dans une version ultérieure du référentiel. Le mode d’exercice des acteurs ou encore le cycle de vie de la donnée n’ont pas d’incidence sur l’applicabilité des moyens définis. Classification : Diffusion restreinte GT PGSSI 4/7 ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 3 Définition de l’authentification des patients L’authentification a pour but de vérifier l’identité dont se réclame une personne ou une machine (ci-après désignée « entité »). Généralement, l’authentification est précédée d’une identification, qui permet à cette entité de se faire reconnaître du système au moyen d’un élément dont on l’a doté. En d’autres termes, s’identifier consiste à communiquer une identité préalablement enregistrée, s’authentifier consiste à apporter la preuve de cette identité (source RGS). L’identité par rapport à laquelle on s’authentifie peut avoir une portée locale ou nationale. En pratique, cette preuve de son identité peut prendre l'une des formes (éventuellement combinées) suivantes : ce que l’entité sait (mot de passe) ; ce que l’entité possède (carte à puce, certificat électronique, token OTP, carte OTP, téléphone, tablette, boite aux lettres de messagerie, etc.) ; ce qu'elle est (caractéristique physique de type biométrie). On distingue deux niveaux d’authentification : l'authentification simple lorsque celle-ci ne repose que sur un seul élément ou « facteur » (exemple : l'utilisateur indique son mot de passe), l'authentification forte lorsque plusieurs facteurs sont combinés (par exemple, ce que je sais et ce que je possède : mot de passe saisi sur un terminal spécifiquement enrôlé). L’authentification d’un acteur est la propriété sur laquelle s’appuient les fonctions de sécurité permettant : d’accorder un accès au système aux seules personnes autorisées ; de différencier les possibilités d’accès aux services et aux données de santé en fonction des droits attachés à l’identité de ces utilisateurs ; de pouvoir imputer les actions à leur auteur. La qualité de l’authentification d’un acteur (patient ou professionnel de santé) conditionne donc la maitrise des accès au SI de santé (conformément au Référentiel règles d’accès). Le niveau de sécurité d’une fonction d’authentification est lié au dispositif d’authentification utilisé et aux conditions d’emploi de ce dispositif. Contrairement à celle des acteurs de santé (cf. document de référence n°1), l’authentification des patients ne peut être qu’une authentification directe. Classification : Diffusion restreinte GT PGSSI 5/7 ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 4 Authentification « publique » des patients Bien qu’il existe des identifiants à portée nationale pour les patients (INS, NIR) qui sont utilisés dans des sphères différentes (santé, médico-administrative), aucun n’est associé à un moyen d’authentification. En l’absence d’authentification citoyenne basée sur une identification de portée nationale utilisable dans une ou plusieurs sphère(s), aucun dispositif d’authentification n’est identifié pour une authentification « publique » des patients. 5 Authentification « privée » des patients Par parallélisme avec le document de référence n°1 et en l’absence d’authentification publique pour les patients, seuls les paliers 1 et 2 sont identifiés pour l’authentification des patients. Ils reposent sur un enrôlement local (utilisant un identifiant local ou national). 5.1 Palier 2 de l’authentification privée En palier 2, l’authentification « privée » d’un patient peut être réalisée par tout dispositif d'authentification forte (cf. définition du chapitre 3), au choix et sous la responsabilité du responsable de traitement. Par exemple : mot de passe à usage unique obtenu, après saisie d'un premier mot de passe, via un canal maitrisé par l’utilisateur (mail et/ou numéro de téléphone mobile) ; dispositifs du type calculettes physiques ou virtuelles ; … Le responsable de la personne morale s’appuie pour étayer son choix sur une analyse de risques spécifique. L’identifiant utilisé est national ou local. Le responsable de traitement est responsable des accès réalisés sur le Système d’Information de santé. Il doit donc être capable d'identifier, a minima a posteriori, tous les patients qui se connectent. Il assure donc une gestion diachronique de l’identification des patients : sur la base d’une identification nationale, ou locale mais en rendant possible a posteriori l’identification certaine du patient (enrôlement comprenant un face à face avec présentation de la carte d'identité par exemple). 5.2 Palier 1 de l’authentification privée En palier 1, une authentification basée sur un couple [identifiant individuel / mot de passe] peut être mise en œuvre, avec des contraintes sur la construction du mot de passe. On se référera ainsi à la note de l’ANSSI sur les mots de passe (cf. référence n°3). Les règles d’identification sont les mêmes que celles présentées au palier 2. Classification : Diffusion restreinte GT PGSSI 6/7 ASIP Santé PGSSI – Référentiel d’authentification des patients 08/04/13 5.3 Règles complémentaires pour la mise en place de l’authentification des patients sur un SIS Les patients doivent être considérés comme des tiers lorsqu’ils accèdent à un SIS. En conséquence, les règles du document de référence n°6 s’appliquent pour l’accès des patients. Toute exception à ces règles doit être dûment autorisée et motivée (justifiée par l’architecture technique ou matérielle par exemple) et faire l’objet d’une analyse de risques spécifique. 6 Offre industrielle En l’absence d’authentification publique pour les patients, l’authentification des patients dans le cadre de fonction d’accès des patients aux SIS est similaire à de l’authentification « privée » des acteurs de santé décrite dans le document de référence n°1 ; l’impact sur l’offre industrielle en est également similaire. 7 Impact sur les pratiques professionnelles Les dispositifs d’authentification des patients n’ont pas d’impact sur les pratiques professionnelles par-delà l’éventuel impact métier de l’accès des patients à un système d’information de santé. Classification : Diffusion restreinte GT PGSSI 7/7