Matinée CPS
Carte CPS et certificats logiciels IGC Santé : comment les intégrer facilement à vos logiciels ?
> Enjeux (référentiel d'authentification de la PGSSI-S, ...)
> Mise en pratique
> Retours d'expérience du Hackathon CPS organisé par le SILPC avec les étudiants de l'université de Limoges
> Questions/réponses (migration IGC, mobilité,...)
Matinée animée par David DECROIX et son équipe, experts en IGC, cryptographie, carte à puce et poste de travail - ASIP Santé
Histologie de la Cavité Buccale (Chapitre 1/3 de l'Histologie du l'appareil d...
HIT 2017 - ASIP Santé - Matinée CPS
1. Carte CPS et certificats logiciels IGC-Santé :
comment les intégrer facilement à vos
logiciels ?
Paris Healthcare Week 2017 – 16/05/2017
2. 2
1. Panorama des fonctionnalités et usages des cartes CPS et certificats logiciels
20 minutes
2. Retours d'expérience du Hackathon CPS organisé par le SILPC
25 minutes
3. Exemple de mise en pratique : authentification par CPS sur un service en ligne
15 minutes
4. Questions / Réponses
Déroulement
3. 3
Intervenants
Equipe PSCE
Pôle Urbanisation et
Services de Confiance
Patrice BOISSEUIL
Dir. Technique Pôle
Sécurité, Urbanisation
& Hébergement
Etudiants
Master CRYPTIS
« Sécurité informatique
et cryptologie »
5. Eléments de contexte
Protection des données de santé à caractère personnel :
Politique générale de sécurité des systèmes d’information de santé
(PGSSI-S)
Référentiel d’authentification des acteurs de santé
Carte CPS : dispositif d’authentification forte adapté à l’ensemble des
paliers du référentiel d’authentification; La carte CPS est également un titre
fondateur permettant la mise en place de dispositifs d’authentification
alternatifs (ex: enrôlement d’un terminal de type smartphone ou tablette par
carte CPS).
Certificats logiciels (de personne physique et de personne morale) émis
par l’IGC Santé
Plus d’un millions de cartes de la famille CPS
en circulation.
5
6. Fonctionnalités offertes par la carte CPS
6
En mode contact :
• Authentification forte
• Signature électronique
• Lecture de données métier
• Ecriture de jeton
En mode sans-contact :
• Identification
• Authentification du support
• Lecture de jeton
Pas de données nominatives
accessibles en sans-contact :
Enrôlement à réaliser
Pour quels usages ?
• Feuille de soins électronique
• Télé-services de santé
• Sécurisation du SI de structures du
domaine de la santé
Pour quels usages ?
• Contrôle d’accès physique
• Contrôle d’accès logique
• Multi-service : badge de cantine,
pointeuse, …
7. CSP
Interface standard Windows
Première modalité d’intégration : la Cryptolib CPS
7
Windows
Mac OS
Internet Explorer Chrome Firefox Chrome Safari
PKCS #11
Interface standard tous OS
Tokend
Interface standard Mac OS
ou
Lecteur SESAM Vitale Lecteur PC/SC (préconisé)
Cryptolib
CPS
L’intégration dans les logiciels métiers s’effectue par la mise en œuvre de ces
mêmes interfaces standards.
8. Configurations compatibles Cryptolib CPS
8
Liste actualisée régulièrement, disponible à cette adresse:
http://integrateurs-cps.asipsante.fr/documents/Tableau-de-compatibilité-Cryptolib-ASIP-Santé
9. Seconde modalité d’intégration : accès direct à la carte CPS
9
Pour qui ?
• Editeurs de solution dans des environnements pour lesquels la Cryptolib CPS n’est pas fournie.
Comment ?
• Convention avec l’ASIP Santé sur demande à monserviceclient.developpement@asipsante.fr
• La convention donne accès à :
Une documentation technique
Un mode de support spécifique
Le contenu de la documentation technique :
• Description exhaustive du volet IAS ECC de la carte : structure de fichiers – contenu des fichiers
• Description détaillée des commandes carte à utiliser pour la mise en œuvre des diverses fonctionnalités
• La description couvre les parties contact et sans-contact
10. Aide à l’intégration : un référentiel documentaire riche
10
Accès au référentiel documentaire : http://integrateurs-cps.asipsante.fr/documentation_technique
11. Exemple d’usage en multi-services au CHU d’Angers
11
Contrôle
d’accès
Système
Information
Hospitalier
(2003)
Badgeage
(1998)
Self du
personnel
(2001)
Self de
l’internat
(2014)
Contrôle
d’accès
physique
aux
bâtiments
(2011)
Vestiaires
(2016)
Contrôle
d’accès
physique
aux
parkings du
CHU
(2013)
Garages à
vélos
(2016)
Accès à
l’armoire à
clefs des
services du
CHU
et
des
véhicules
de services
(2014)
Lecture et
maj des
cartes
vitales
(2014)
Gestion des
FSE
(2016)
Principe de base: Chaque personne intervenant au CHU a une carte Cpx
12. Utilisation des cartes CPx avec photo
en tant que badge d’identité à l’AP-HP
12
Photo , Logo
Fonction
Dispositif anti-falsification du visuel des cartes :
• Tampon en relief de « Assistance Public – Hôpitaux de Paris » .
• Ce film intègre également un effet « 3D » spécifique.
Les usages de la carte sont multiples :
Accès aux hôpitaux
• Utilisation des cartes CPx avec photo en tant que badge d’identité
Accès aux SI
• Simplifier, sécuriser et tracer l’accès au SI grâce à une authentification unique
• Maîtriser l’accès au SI par la hiérarchie même sans compétences techniques (gestion des habilitations)
• Avoir un annuaire d’entreprise complet et ergonomique
Accès aux locaux
• Activation des accès aux locaux sécurisés selon la période d’activité de l’agent
• Parkings
• Locaux sensibles
Paiement des repas aux restaurants administratifs
13. Evolutions court terme de la cartes CPS
Deux évolutions seront disponibles avec les cartes CPS IGC-Santé, elles visent à
mieux répondre aux besoins en établissements de santé :
Amélioration du niveau de compatibilité avec les solutions terrain déployées pour les usages
sans-contact (contrôle d’accès physique, badge de cantine, …)
Intégration de la technologie Mifare au niveau de la puce (Mifare Classic 1K).
Ajout d’un moyen d’identification supplémentaire sur le visuel de la carte :
Un code barre correspondant à la valeur de l’identifiant national du porteur figurera
au verso de la carte, encodé en code 128 (norme NF EN 799)
13
Ces évolutions seront disponibles en production courant T3 2017
14. L’offre de certificats logiciels IGC-Santé
14
Usages :
- Authentification
- Signature
- Chiffrement
Usages :
- Authentification
- Signature
- Chiffrement
AC Racine
« ELEMENTAIRE »
Professionnels réglementés
Personnels de structures Santé/Social
Personnels de structures autorisées
Personnes morales
(application clientes)
Serveurs
(hébergés par une Personne Morale)
ACI
PERSONNES
ACI
ORGANISATIONS
Certificats Logiciels
15. Modalités de commande des certificats logiciels IGC-Santé
étape technique (1/2)
15
Pour les certificats logiciels, la plateforme de service permet de gérer :
1. La Commande de certificats (demande / retrait)
2. La Révocation de certificats
3. Le Suivi
Plusieurs canaux disponible : IHM, Web service et Canal Mail (interface historique dépréciée).
Portail web : https://pfc.eservices.esante.gouv.fr
16. Modalités de commande des certificats logiciels IGC-Santé
étape technique (2/2)
16
Disponibilité d’un mode totalement assisté supprimant les opérations techniques lors
de la commande :
• Fonctionnalité présente depuis la mise en service de la plateforme mais s’appuyant sur la
technologie Java Frein à l’usage.
• Dépendance à Java supprimée depuis le 08/03/2017.
17. Migration IGC-Santé (Rappels)
Plusieurs besoins d’évolution recensés :
L’IGC-CPS2bis et l’IGC-CPS2ter expirent fin 2020.
Compte-tenu de la durée de validité des certificats, ces IGCs doivent arrêter d’émettre avant fin 2017.
Mise à niveau sur les plans techniques et sécuritaires.
Les IGCs existantes ne sont pas conformes à l’état de l’art en ce qui concerne :
• les standards internationaux de gestion des identités et des signatures/cachets électroniques.
• Les mécanismes cryptographiques utilisés (taille de clés, algorithmes utilisés, …)
Modernisation des services de demande et de gestion des certificats.
Elargissement de l’offre de produits de certification.
Mise en conformité de la gamme de Produits de Certification pour Personnes Morales et Personnes Physiques avec la PGSSI-S.
Proposer une plus grande variété d’usages s’appuyant sur les certificats logiciels.
Référentiel documentaire IGC-Santé disponible sur le site « intégrateur CPS » :
• Note de présentation générale de l’IGC-Santé :
http://integrateurs-cps.asipsante.fr/IGC-Sante
• Note technique détaillée sur les impacts et la migration :
http://integrateurs-cps.asipsante.fr/IGC-Sante-migration
• Autres ressources disponibles :
17
18. Migration IGC-Santé : Planning certificats logiciels (Rappel)
18
L’ouverture de l’IGC-Santé sur le périmètre certificat logiciel est effective depuis avril 2016 :
• Dès T0, il est possible de délivrer des certificats de test et de production.
• A T2 : arrêt d’émission de certificats logiciels par la plateforme actuelle (IGC-CPS2bis).
• Les certificats logiciels émis restent valides et utilisables jusqu’à leur expiration.
• Les CRLs continuent à être fournies.
Avr. 2016 Fév. 2017
Planning de la migration vers la
nouvelle IGC – Certificats logiciels
Ancienne IGC (IGC-2bis)
Production des certificats logiciels de l’ancienne
IGC
Période de validité des certificats de l’ancienne
IGC après fin d’émission
Nouvelle IGC (IGC Santé)
Ouverture IGC Santé
Extinction
de l’IGC-
2bis
T0 T2
Fin 2020
Juin 2017
T2
L’arrêt d’émission de certificats logiciels par la plateforme IGC-CPS2bis
a été décalé de fin février 2017 à fin juin 2017.
19. Migration IGC-Santé : Planning certificats carte (Rappel)
19
• Depuis Février 2017 : disponibilité des carte de TEST.
• Octobre 2017 : date ciblée pour l’émission terrain des première cartes CPx IGC-Santé.
Fev. 2017 Oct. 2017
Planning de la migration vers la
nouvelle IGC – Cartes CPx
Ancienne IGC (IGC-2ter)
Production des cartes de l’ancienne IGC
Période de validité des cartes de l’ancienne IGC
après fin d’émission
Nouvelle IGC (IGC Santé)
Mise à disposition des cartes de TEST à
destination des éditeurs et promoteurs
d’applications
Emission terrain des cartes IGC-Santé vers les
utilisateurs finaux
Extinction
de l’IGC-
2ter
Fin 2020
Le déploiement des cartes IGC-Santé se fera au rythme du
renouvellement naturel des cartes actuellement sur le terrain.
Il n’y aura pas d’opération massive de renouvellement anticipé du parc
existant pour le passage à l’IGC-Santé.
21. Mardi 16 Mai 2017
HACKATHON
48 H POUR INNOVER ET
TRANSFORMER LA SÉCURITÉ DES
SYSTÈMES D'INFORMATION DE
SANTÉ
avec le soutien de :
Avec les étudiants
22. 22
Structure
de
Coopératio
n
Non éditeur
Intégrateur
Service
public
Mutualisation
Expertises
Efficience
Hospitaliers
GIP SILPC : 5 Axes d'expertise
Travaux en
cours :
Agrément
SIAF
Groupement d’Intérêt Public ( GIP ) : 255 adhérents, 130 collaborateurs, 30 ans d’existence
23. 23
L’ASINHPA et son groupe de travail SSI
• ASINHPA : Association des Structures d’INformatique Hospitalières Publiques
Autonomes
• Le GT SSI de l’ASINHPA:
• Des professionnels SSI de 5 structures publiques (Mipih, eSIS5969, Cpage, SIB,
SILPC) se retrouvent régulièrement au sein du GT SSI de l'ASINHPA pour
échanger sur les expériences et déclinaisons de la SSI en établissement de
Santé.
• Le GT est présent notamment dans les travaux associés à la PGSSI Santé
24. 24
GIP SILPC et ses adhérents : Nos usages CPS
Ouverture de session sur son poste de travail
« Natif » Microsoft (Smart Card Logon)
Module SSO
Accéder aux applications
« Natif » sur l’application
Module SSO (Indépendant de la CPS)
Lire la carte Vitale (composant Galss ... )
Accéder aux « téléservices » nationaux : DMP, DP, CDR, ….
Accéder aux services Web
Par configuration Service Web (Apache / IIS Autonome / IIS AD)
Web SSO (DenyAll, Lemon::NG)
Echanger par messagerie sécurisée (S/Mime GIP-CPS, MSSanté)
Signer électroniquement les documents
Gestion du temps (Badgeage)
Gestion des flux impression
Accès physique au bâtiment, Accès Archives, locaux sensibles
Parking
Self
…..
• 20 Adhérents utilisent la CPS
(soit 20 000 agents Cartes CPS)
• 5 500 postes de travail
Quelques Chiffres
25. 25
4 équipes
présentes
4 équipes
présentes
Hackathon : Mise en situation
• Temps 1 – Ouverture du concours Vendredi 3 mars 2017 vers 17h00
Cartes CPS 3.3 de test
Lecteurs contact
Lecteurs sans contact
Clé USB avec documentation spéciale
Présentation
institutionnelle
Eléments de
contexte /1
Généralités
Concours/Dotations
/ Les données de
Santé
Eléments de
contexte /2
USAGES
Mobilité du PS
et/ou du terminal
Eléments de
contexte /3
CADRE
LMSysS – PGSSI
Santé & réf.
La mission
Les moyens
Kit – valise
mission
27. Introduction Solutions techniques Conclusion
Healthcare Data Security Challenge
Nicolas ARAGON
Alexandre CHABROUX
L´ea FROMENT-MAZET
Mathieu KLINGLER
Jordan TAILLEFER
Universit´e de Limoges
May 12, 2017
30. Introduction Solutions techniques Conclusion
Pr´esentation du contexte
Notre mission
Assurer l’authentification forte du professionnel de sant´e sur un des
contextes d’usage en respectant les contraintes et r´ef´erentiels en
vigueur.
31. Introduction Solutions techniques Conclusion
Mode sans contact
R´eseau interne
R´eseau de
l’´etablissement
Ressources
`a prot´eger
Portail captif
Authentification forte mˆeme en mode sans contact.
Protection par le portail captif.
32. Introduction Solutions techniques Conclusion
Mode sans contact
Prototype
Utilisation des APDUs de la carte CPS.
Simulation du portail captif.
34. Introduction Solutions techniques Conclusion
Mobilit´e
Mode hors connexion
Traitement des informations en local.
Chiffrement des donn´ees stock´ees.
D´echiffrement grˆace `a la carte CPS + code PIN.
Pas de portail captif, mode sans contact moins s´ecuris´e.
35. Introduction Solutions techniques Conclusion
Mobilit´e
D´erivation de cl´es
Cl´e de recouvrement
Cl´e fille 1CPS
Donn´ees en cache
Acc`es
Chiffre
Terminal
36. Introduction Solutions techniques Conclusion
Android
Documentation
N´ecessit´e de connaitre les s´equences APDU :
Documentation fournie par l’ASIP
Middleware
Exp´erimentation avec OpenSC
37. Introduction Solutions techniques Conclusion
Android
Impl´ementation Android
Utilisation de l’exemple Android LoyaltyCardReader
Disponible sur developer.android.com
Changement des s´equences APDU
38. Introduction Solutions techniques Conclusion
Conclusion
´Etude d’un cas pratique d’utilisation de la s´ecurit´e dans un
domaine inconnu auparavant, la sant´e.
Preuve de concept via la r´ealisation d’une application Android
g´erant le mode NFC avec la carte CPS.
D´ecouverte des contraintes et r´eglementations en vigueur
dans le milieu m´edical.
´Echanges avec des professionnels.