Logo Stéphane Ulmer Conseil

Stéphane Ulmer Conseil

Votre bouclier contre les risques RGPD

Contactez-nous LinkedIn ↗
Réservez un appel →
Stéphane Ulmer Conseil » Actualités » méthodologie» Sécurité des Données de Santé : L’ANS et la CNIL ensemble pour un même but
l'authentification multifacteur

Temps de lecture :

7–10 minutes

Dans le domaine de la santé, la protection des données est une priorité absolue.

La CNIL a récemment publié des recommandations pour promouvoir des solutions de cybersécurité conformes au RGPD, notamment en matière d’authentification multifacteur.

Cependant, l’Agence du Numérique en Santé (ANS) a pris une longueur d’avance avec la publication de son référentiel sur l’identification électronique, qui impose des exigences strictes pour les connexions aux services numériques traitant des données de santé.

Évolution de l’Identification Électronique

L’identification électronique a considérablement évolué au fil des ans, passant de simples mots de passe à des systèmes d’authentification multifacteur (MFA).

Pour rappel :

L’évolution de l’authentification multifacteur (MFA) a été marquée par plusieurs étapes clés, chacune ajoutant des couches de sécurité supplémentaires pour protéger les accès aux systèmes et aux données. Voici quelques exemples illustrant cette évolution :

  • Mots de Passe Simples
    • Époque : Années 1960-1970
    • Description : Les premiers systèmes informatiques utilisaient des mots de passe simples comme unique méthode d’authentification. Ces mots de passe étaient souvent faciles à deviner ou à casser.
  • Mots de Passe Complexes
    • Époque : Années 1980-1990
    • Description : Avec l’augmentation des menaces, les systèmes ont commencé à exiger des mots de passe plus complexes, incluant des caractères spéciaux, des chiffres et des lettres majuscules. Cependant, cela n’était pas suffisant pour contrer les attaques sophistiquées.
  • Tokens Matériels
    • Époque : Années 1990-2000
    • Description : Introduction des tokens matériels, tels que les cartes à puce ou les clés USB, qui génèrent des codes temporaires utilisés comme second facteur d’authentification. Ces dispositifs ajoutaient une couche physique de sécurité.
  • Codes par SMS
    • Époque : Années 2000
    • Description : Les codes envoyés par SMS sont devenus une méthode populaire de MFA. Lors de la connexion, l’utilisateur recevait un code temporaire sur son téléphone portable, qu’il devait saisir pour compléter l’authentification.
  • Applications d’Authentification
    • Époque : Années 2010
    • Description : Des applications comme Google Authenticator ou Microsoft Authenticator ont été développées pour générer des codes temporaires sur les smartphones. Ces applications sont souvent plus sécurisées que les SMS, car elles ne dépendent pas des réseaux de télécommunications.
  • Biometrics
    • Époque : Années 2010-Présent
    • Description : L’utilisation de la biométrie, telle que les empreintes digitales, la reconnaissance faciale ou vocale, est devenue une méthode courante de MFA. Ces technologies offrent une sécurité accrue en utilisant des caractéristiques uniques de l’utilisateur.
  • Authentification Sans Mot de Passe
    • Époque : Présent et Futur
    • Description : Les systèmes d’authentification sans mot de passe utilisent des combinaisons de biométrie, de tokens matériels et de contextes d’utilisation (comme la géolocalisation) pour vérifier l’identité de l’utilisateur sans nécessiter de mot de passe traditionnel.
  • Authentification Adaptative
    • Époque : Présent et Futur
    • Description : L’authentification adaptative ajuste les exigences de sécurité en fonction du contexte, comme l’emplacement, le dispositif utilisé ou le comportement de l’utilisateur. Par exemple, une connexion depuis un nouvel emplacement peut déclencher des vérifications supplémentaires.

Ces évolutions montrent comment la MFA a évolué pour répondre aux menaces croissantes et aux besoins de sécurité accrus dans le monde numérique. Chaque étape a ajouté des couches supplémentaires de protection pour garantir que seules les personnes autorisées puissent accéder aux systèmes et aux données sensibles.

Ces systèmes ajoutent une couche supplémentaire de sécurité en exigeant non seulement un mot de passe, mais aussi un second facteur d’authentification, tel qu’un code envoyé par SMS ou une application d’authentification.

L’ANS a intégré ces avancées dans son référentiel, en imposant l’utilisation de mots de passe forts et de seconds facteurs d’authentification pour accéder aux services numériques en santé.

Ce référentiel est le premier chapitre de la ‘politique générale de sécurité des systèmes d’information en santé’ (PGSSI-S) à être rendu opposable par arrêté ministériel.

Exemples Concrets et Pratiques

Pour illustrer l’importance de ces mesures, prenons quelques exemples concrets :

  1. Accès aux Dossiers Médicaux : Les professionnels de santé doivent utiliser une authentification à deux facteurs pour accéder aux dossiers médicaux électroniques. Cela garantit que seules les personnes autorisées peuvent consulter ces informations sensibles.
  2. Téléconsultations : Les plateformes de téléconsultation doivent également mettre en place des systèmes d’authentification renforcée pour protéger les échanges entre patients et professionnels de santé.
  3. Applications de Santé : Les applications mobiles de santé, telles que celles utilisées pour la gestion des rendez-vous ou le suivi des traitements, doivent intégrer des mécanismes d’authentification multifacteur pour sécuriser les données des utilisateurs.

Services Obligés d’Utiliser la Double Authentification

Plusieurs services sont désormais tenus d’utiliser la double authentification :

  • FranceConnect : Pour les usagers, l’utilisation de FranceConnect est promue, avec une authentification à deux facteurs obligatoire dès le 1er juin 2022.
  • Pro Santé Connect : Pour les professionnels de santé, l’implémentation de Pro Santé Connect est obligatoire pour certains services sensibles à partir du 1er janvier 2023.
  • Services Numériques Locaux : Les structures de santé doivent mettre en place une authentification à deux facteurs pour les accès à distance d’ici le 1er juin 2022.

Obligations à Partir de 2026

À partir de 2026, les exigences du référentiel d’identification électronique deviendront encore plus strictes. Les moyens d’identification électronique locaux devront être homologués par les structures ou services, ou qualifiés par l’ANSSI (niveau substantiel eIDAS). Cela signifie que les systèmes d’authentification devront répondre à des normes de sécurité élevées pour continuer à être utilisés. Les professionnels de santé devront s’assurer que leurs méthodes de connexion sont conformes à ces nouvelles exigences pour garantir la protection des données de santé.

Moyens d’Identification Électronique Locaux

Les moyens d’identification électronique locaux sont des systèmes d’authentification utilisés au niveau régional ou institutionnel pour accéder à des services numériques spécifiques. Ces systèmes doivent répondre à des exigences de sécurité strictes pour être conformes aux normes eIDAS.

Par exemple, une structure de santé peut utiliser des cartes d’identification locales ou des applications mobiles pour authentifier ses employés. Ces moyens doivent garantir une authentification forte, souvent par le biais de mots de passe robustes et de seconds facteurs d’authentification, tels que des codes à usage unique.

D’ici 2026, ces systèmes devront être homologués par les structures ou qualifiés par l’ANSSI pour continuer à être utilisés, assurant ainsi un niveau de sécurité élevé et conforme aux standards européens.

eIDAS : Qu’est-ce que c’est ?

eIDAS (Electronic Identification, Authentication and Trust Services) est un règlement de l’Union Européenne qui vise à faciliter les transactions électroniques sécurisées entre les États membres. Il établit un cadre juridique pour l’identification électronique et les services de confiance, tels que les signatures électroniques, les sceaux électroniques, les services d’horodatage, et les services de livraison électronique recommandée.

Objectifs d’eIDAS

  1. Interopérabilité : Permettre aux citoyens et aux entreprises d’utiliser leurs identités numériques nationales pour accéder aux services publics dans d’autres pays de l’UE.
  2. Confiance : Établir des normes pour les services de confiance afin de garantir la sécurité et la fiabilité des transactions électroniques.
  3. Simplification : Réduire les obstacles administratifs et juridiques aux transactions électroniques transfrontalières.

Principaux Composants

  • Identification Électronique : Les États membres peuvent notifier leurs systèmes d’identification électronique à la Commission européenne. Une fois notifiés, ces systèmes doivent être reconnus par les autres États membres.
  • Services de Confiance : eIDAS définit plusieurs types de services de confiance, chacun ayant des exigences spécifiques pour garantir la sécurité et la fiabilité :
  • Signatures Électroniques : Permettent de signer des documents électroniques de manière juridiquement contraignante.
  • Sceaux Électroniques : Utilisés par les entreprises pour garantir l’origine et l’intégrité des documents.
  • Services d’Horodatage : Fournissent une preuve fiable de l’heure et de la date d’un document électronique.
  • Services de Livraison Électronique Recommandée : Assurent la livraison sécurisée de documents électroniques.

Moyens d’Identification Électronique Locaux

Les moyens d’identification électronique locaux sont des systèmes d’authentification utilisés au niveau régional ou institutionnel pour accéder à des services numériques spécifiques. Ces systèmes doivent répondre à des exigences de sécurité strictes pour être conformes aux normes eIDAS. Par exemple, une structure de santé peut utiliser des cartes d’identification locales ou des applications mobiles pour authentifier ses employés. Ces moyens doivent garantir une authentification forte, souvent par le biais de mots de passe robustes et de seconds facteurs d’authentification, tels que des codes à usage unique. D’ici 2026, ces systèmes devront être homologués par les structures ou qualifiés par l’ANSSI pour continuer à être utilisés, assurant ainsi un niveau de sécurité élevé et conforme aux standards européens.

Le site eIDAS

Le site officiel d’eIDAS, est contenu sur le site cyber.gouv.fr et il fournit des informations détaillées sur le règlement, y compris :

  • Documentation : Guides et documents techniques pour aider les États membres, les entreprises et les citoyens à comprendre et à mettre en œuvre eIDAS.
  • Liste des Prestataires de Services de Confiance : Une base de données des prestataires de services de confiance qualifiés dans l’UE.
  • Notifications des Systèmes d’Identification Électronique : Informations sur les systèmes d’identification électronique notifiés par les États membres.
  • Actualités et Mises à Jour : Les dernières nouvelles et développements concernant EIDAS et les services de confiance.

En résumé, eIDAS joue un rôle crucial dans la création d’un marché numérique unique en Europe, en facilitant des transactions électroniques sécurisées et fiables à travers les frontières.

En France, L’ANSSI est garante de la sécurité pour le volet identification électronique du règlement eIDAS.

Conclusion

En tant que DPO et consultant RGPD, je suis là pour vous aider à naviguer dans ces exigences et à assurer la conformité de vos systèmes.

La sécurité des données de santé est un enjeu crucial, et il est essentiel de se conformer aux recommandations de l’ANS pour garantir la protection des informations sensibles.

N’hésitez pas à me contacter pour toute question et à prendre rendez-vous ou pour un accompagnement personnalisé dans votre mise en conformité.

Ressources :