FAQ de l'offre : Conformité (labels, référencements et certifications)

L'exigence a été mise en place pour éviter la duplication des comptes utilisateurs.

Dans le cas de multisites, il est possible de rajouter d'autres attributs (Nom de l'établissement, Identifiant de la structure ...) qui permettraient d'empêcher la duplication au sein d'un même établissement tout en permettant à un même professionnel de santé de disposer de comptes au sein de différentes structures.

La vérification de la complexité d’un mot de passe ne peut être constatée qu’au moment de sa création ou de sa modification.

Pour démontrer la conformité à l’exigence :

• accéder à une fonctionnalité permettant la création ou la modification d’un mot de passe ; 
• proposer des mots de passe dont l’entropie est inférieure à 27 bits et vérifier qu’ils sont refusés par le système.
  Les exemples de mot de passe faibles peuvent inclure : 
  • des mots de passe trop courts (moins de 8 caractères) ; 
  • des mots de passe constitués uniquement de chiffres ou uniquement de lettres.
• proposer un mot de passe respectant les règles de complexité (entropie supérieure à 27 bits) et vérifier qu’il est accepté par le système. 
   

IEPS 02 - Enoncé de l'exigence :

Le Système DOIT vérifier, à la création d'un compte, l'adresse de messagerie ou le numéro de téléphone du PS lorsque ces informations sont utilisées dans les mécanismes d'authentification ou de récupération de son compte.

Scénario - vérification de contrôle des coordonnées de messagerie ou téléphoniques : 

• déclarer un compte en saisissant une adresse de messagerie utilisée pour l'authentification ou la récupération du compte ; 
• vérifier que le système contrôle la validité de l'adresse de messagerie par l'envoi d'un lien unique ou d'un compte à cette adresse.

Il est nécessaire d'afficher l'adresse de messagerie aussi bien lors de la saisie à la création du compte, que lors de la réception du mail d'activation afin d'en prouver la correspondance.

De même, si le système utilise le numéro de téléphone lors du processus d'authentification ou de récupération de compte, il sera nécessaire de prouver la conformité au scénario 2 et la correspondance du numéro de téléphone saisi sur le système avec le numéro de téléphone sur lequel est reçu le code OTP.

Les exigences IEU 5 et IEPS 6 "Le Système DOIT permettre d'imposer le renouvellement d'un Moyen d'Identification électronique (MIE) à une fréquence paramétrable selon le type de MIE." portent principalement sur le paramétrage d’une fréquence de renouvellement des MIE.

Aucun délai n'étant imposé par la réglementation, il est possible de proposer une fréquence par défaut en adéquation avec le contexte d'intervention de la solution. Il peut ainsi être accepté que la fréquence de renouvellement soit paramétrée dans un délai plus long.

L'exigence IEU 1 : "Le Système DOIT imposer la vérification des attributs d'identité de l'Usager au moment de la création du compte par l'Utilisateur" s'applique pleinement même sans accès aux professionnels de santé.
Lorsqu'il n'y a pas d'accès aux professionnels de santé, il n'y a pas de vérification de l'identité du patient.
Toutefois, il ne s'agit pas d'une vérification de l'identité du patient, mais de la vérification des attributs du patient nécessaires à la création de son moyen d'identification électronique (MIE).
Un processus doit être mis en place dans le but d'inviter le patient à confirmer l'exactitude des attributs renseignés.

Par exemple : Une déclaration de l’exactitude des attributs renseignés (ex : par une case à cocher) ou une étape de validation des attributs renseignés.

De même pour l'exigence IEU 2 :  "Le Système DOIT n'autoriser la modification de ses attributs d'identité par un Usager qu'avec des informations obtenues par une vérification d'identité aussi fiable que lors de l'enregistrement initial". 
Un processus doit être mis en place dans le but d'inviter le patient à confirmer l'exactitude des attributs modifiés.

Par exemple : Une déclaration de l’exactitude des attributs renseignés (ex : par une case à cocher) ou une étape de validation des attributs renseignés.
 

Pour rappel, l'exigence IEU 6 : "Le Système DOIT permettre à un Usager de révoquer l'accès par l'un de ses MIE", comporte 2 scénarios de conformité :

SC1 - Révoquer un MIE sans se connecter au système

Le système doit répondre au scénario de conformité en proposant un moyen de révocation pour chaque MIE mis à disposition, sans se connecter au système.

Exemples (non exhaustif) :

• Si le mot de passe est compromis : proposer un lien "mot de passe oublié" afin de permettre à l'usager de réinitialiser son mot de passe.
• Si le téléphone est perdu : l'usager peut orienter l'envoi de l'OTP sur son email enregistré au préalable. Une fois connecté, il pourra changer le numéro de téléphone.
• Si l'accès à l'email est perdu : l'usager peut orienter l'envoi de l'OTP sur son numéro de téléphone enregistré au préalable. Une fois connecté, il pourra modifier l'adresse email.

Remarque : Ce scénario est applicable par défaut pour chaque MIE. Exception pour les MIE utilisant un service externe ou une fédération d’identité (exemple : FranceConnect), ce scénario n’est pas applicable.

SC2 - Révoquer un second MIE une fois connecté au système

Le système doit répondre au scénario de conformité en proposant un moyen de révocation pour chacun de ses MIE en se connectant par un de ses autres MIE non compromis.

Exemple : 

• Mon système propose l’utilisation de clés FIDO comme MIE, une clé nominale et une clé de secours. Dans le cas de la perte/vol de la clé FIDO à usage nominal, la clé FIDO de secours doit permettre de se connecter et ainsi de révoquer la clé FIDO perdue.

Les scénarios applicables dépendent donc du nombre de MIE proposés par le système :

• Dans le cas où le système ne dispose que d'un seul MIE, seul le scénario 1 est applicable car l'accès au compte devient impossible dès lors que le MIE est compromis.
• Dans le cas où le système dispose d'au moins 2 MIE, les scénarios 1 et 2 sont applicables.
   

"IEPS 8 - Le Système DOIT garantir l'unicité des identifiants de ses utilisateurs"

Scénario - vérification de l'unicité des identifiants utilisateur : 

1. Création d'un compte utilisateur ; 
2. Création d'un second compte utilisateur avec les mêmes traits d'identité utilisateur afin de déclencher une alerte de risque de doublon ; 
3. Afficher à l'utilisateur, l'alerte de risque de doublon »

Il est accepté de fournir une preuve plus adaptée à votre cas d’usage dès lors qu’elle prouve bien que l’unicité des identifiants utilisateurs est garantie.

A titre d’exemple :

Votre solution propose un numéro d’identification spécifique à votre solution.
Vous êtes conforme à l’exigence si l’attribution de ce numéro d’identification est unique à chaque compte.

On entend par "correspondant" tout professionnel de santé avec lequel un utilisateur de la solution est susceptible d’interagir. L’utilisateur de la solution se distingue du correspondant par le fait d’avoir un accès à la solution (via une authentification PS avec un MIE, PSC, etc…), contrairement au correspondant.

Pour qu'une solution soit intégralement conforme au référentiel ANN, la création de fiche correspondant doit être effectuée dans l'application à chaque fois qu'un PS est mentionné par un utilisateur, dans un dossier patient ou ailleurs, ou consulté via l'envoi de documents ou d'informations.

Les informations obligatoires du correspondant et la fréquence de rafraichissement de ces informations sont les mêmes que pour l'utilisateur.

L'adresse MSS doit être remontée aussi bien pour les utilisateurs que pour les correspondants dans les solutions de téléconsultation :

• l'ANN 5.1.1 devra montrer le chargement du fichier (ANA 1) ou le contenu de l'appel API (ANA2) contenant l'adresse MSSante ;
• l'ANN 5.1.2 devra montrer d'une part la remontée sur l'IHM de l'adresse MSSante à la création d'un utilisateur et d'autre part la remontée sur l'IHM de l'adresse MSSante à la création d'un correspondant.

• IEU 2 : "Le Système DOIT n'autoriser la modification des attributs d'identité d'un Usager qu'avec des informations obtenues par une vérification d'identité aussi fiable que lors de l'enregistrement initial." 
• IEU 7 : "Le Système DOIT supporter le matricule INS comme identifiant d'un Usager." 
• IEU 8 : "Le Système DOIT rechercher le matricule INS de l'Usager lorsque l'identification électronique ne fournit qu'un identifiant privé, par appel du téléservice ou par intégration de l'identité INS en provenance de son domaine d'identification." 

Dans le cas d'une candidature pour un DMN pour lequel l'implémentation de l'Identité Nationale de Santé est non applicable, la conformité aux exigences IEU 2, IEU 7 et IEU 8 n'est pas obligatoire. Ces trois exigences sont donc "Non applicables". En cas de non applicabilité, une déclaration sur l'honneur justifiée devra être fournie à la place de la preuve attendue.