1. PROJETS ET SERVICES
Intégrer la gestion des certificats serveurs
applicatifs (CSA) délivrés par l’ASIP Santé
dans vos offres de services
Journée Nationale des Industriels – 13 Novembre 2014
2. Certificats logiciels produits par l’ASIP Santé
attachés à une personne morale (structure de santé)
L’ASIP Santé délivre gratuitement des certificats serveur applicatifs (CSA) - valables 3 ans -
pour assurer la sécurisation des échanges d’informations de santé
• entre un système informatique et un utilisateur ou entre deux systèmes informatiques.
Actuellement, deux types de certificats serveur (cf Politique de Certification):
• Le certificat « SSL » permet de sécuriser un échange avec un correspondant en créant un
canal sécurisé accessible à des correspondants préalablement authentifiés (ex: liaison HTTPS)
sécurisation par l’authentification réciproque du serveur vis-à-vis des utilisateurs ou autres serveurs,
ainsi que la confidentialité et l'intégrité des données échangées
• Le certificat « S/MIME » permet de sécuriser un échange avec un correspondant en
signant et/ou chiffrant les données échangées
sécurisation par la signature de l’objet par le serveur, garantissant ainsi l’identité de ce serveur et
l’intégrité du contenu de l’objet, et éventuellement chiffrement du contenu pour en assurer la
confidentialité.
Les demandes de CSA s’accélèrent, notamment :
• Pour la création et/ou l’alimentation de DMP via des logiciels homologués en
authentification indirecte (CSA SSL et S/MIME)
• Pour sécuriser les échanges entre opérateurs MSSanté (CSA SSL)
• Pour accéder aux données du RPPS via des logiciels utilisant les webServices (CSA SSL et
S/MIME)
Journée Nationale des Industriels - 13 Novembre 2014 2
3. Procédure de demande de CSA
3Journée Nationale des Industriels - 13 Novembre 2014
La distribution de CSA se déroule en deux phases :
La phase administrative destinée à :
identifier la structure attachée au CSA; enregistrer la structure si cela
n’a pas déjà été fait auparavant ;
enregistrer les informations qui seront contenues dans les certificats
serveur (nom de domaine…) ;
identifier les administrateurs techniques qui seront en charge des
opérations techniques.
La phase technique destinée à :
procéder à la génération des clés de sécurité des serveurs, à leur
certification par l’ASIP Santé et à l’installation du certificat dans les
serveurs de la structure.
Contrat d’abonnement
(contrat CPS)
Carte de directeur (n°101)
Formulaire de
demande de CSA
(n°403)
L’administrateur
technique doit détenir
une CPx (CDA ou CPA
pour les industriels)
Outil CLEO
(facultatif)
4. 8
• De plus en plus de structures de santé ont besoin de s’équiper en CSA
• Créer et/ou alimenter le DMP, utiliser la messagerie sécurisée en tant qu’opérateur MSSanté,
consulter ou récupérer les fichiers d’extraction des données du RPPS par web-services,…
• 1 CSA par type d’usage (conseillé)
• Les structures de santé ne sont pas habituées aux modalités de demande de CSA
• Consommateur de temps ; risque de formulaire mal rempli ; difficultés lors de l’étape technique
(qui requiert une certaine technicité)
• La demande de CSA est associée à un usage, en lien avec une solution logicielle
(logiciel « DMP compatible », proxy pour MSSanté, solution RH ou DPI pour les accès
au RPPS…)
Optimiser la demande de CSA - constats
Journée Nationale des Industriels - 13 Novembre 2014
La demande de CSA mérite de s’inscrire
dans l’offre de service proposée par les éditeurs et autres prestataires SIS
Un service de plus rendu au client
Une plus grande efficacité dans la demande et la délivrance des CSA
5. 8
AU DEMARRAGE :
1. Se familiariser aux procédures de demande de CSA
• Fiche pratique & information sur esante.gouv.fr
• Bientôt : manuel destiné aux industriels
2. Intégrer la gestion des CSA dans son process (contractualisation avec le
client, installation…) & former les collaborateurs
• L’industriel prévoit de renseigner son client sur les impacts de la délégation de
l’étape technique (confier à un tiers de confiance la génération des clés de
sécurité des serveurs puis l’installation du certificat dans les serveurs de la
structure…).
3. Identifier les administrateurs techniques
• Les doter de cartes CPA (gratuites)
• Les administrateurs doivent disposer d’une adresse courriel pour l’étape technique
Les étapes à mener 1/3
Journée Nationale des Industriels - 13 Novembre 2014
6. 8
Puis, POUR CHAQUE CLIENT (dans le cadre de l’offre de services
proposée aux clients) :
1. Aider le client dans ses démarches administratifs
Vérifier si le client est déjà en contrat avec l’ASIP Santé
Le cas échéant, l’aider à remplir les documents nécessaires à la contractualisation avec l’ASIP
Santé
Remplir le formulaire de demande de CSA (403) pour le compte du client
Points de vigilance :
• Enregistrement du responsable de structure ou du mandataire → à jour ?
• Nom de domaine : si le signataire n’est pas propriétaire du nom de domaine, joindre une
autorisation du propriétaire pour utiliser le nom de domaine (le nom de domaine est associé
au nom du serveur pour constituer l’identifiant unique du serveur à sécuriser)
• Adresse courriel obligatoire pour les certificats SMIME (et unique dans l’Annuaire CPS)
Adresser au client les formulaires à signer, par exemple en même temps que le bon
de commandes.
• Formulaires signés par le représentant légal de la structure ou par un mandataire désigné +
cachet de la structure.
Envoyer les documents signés à l’ASIP Santé pour instruction du dossier
administratif
Pour toute aide dans les démarche administratives :
Les étapes à mener 2/3
Journée Nationale des Industriels - 13 Novembre 2014
7. 8
2. Procéder à l’étape technique pour le compte du client :
Installation du certificat et de la bi-clé sur le serveur, par exemple en même temps
que l’installation logicielle
générer les clés de sécurité du serveur, faire certifier la clé publique par l’ASIP
Santé et installer les certificats dans les serveurs de la structure
poste équipé :
• d'un lecteur de carte à puce,
• d'un logiciel d'interface avec les cartes CPx pour signer les demandes avec la CPA de
l'administrateur technique
• d’une solution de courrier électronique pour adresser les demandes de certificat et recevoir les
réponses de la plateforme de l'ASIP Santé qui émet les certificats.
L’ASIP Santé met à disposition un outil nommé CLEO pour faciliter ces démarches techniques.
Possibilité de caler un RDV téléphonique avec le support technique pour un
accompagnement à la première installation (prise de RDV à anticiper)
Etape à renouveler à l’échéance du certificat (3 ans); l’administrateur technique doit
pouvoir être recontacté par courriel
• Pour toute aide durant l’étape technique : etablissement@asipsante.fr
Les étapes à mener 3/3
Journée Nationale des Industriels - 13 Novembre 2014
8. 8
Prochaines évolutions (2ème trimestre 2015)
Journée Nationale des Industriels - 13 Novembre 2014
• Diversification de l’offre de certificats logiciels associée aux personnes
morales : certificats d’authentification, de signature, de chiffrement…
• Etape administrative :
• aide à la saisie des formulaires sur le portail « E services cartes et certificats »
• Etape technique :
• simplifiée : demande technique et récupération des certificats via un portail et/ou
par web Services (le canal « courriel » reste opérationnel)
• Possibilité de gestion du parc de certificats
Vous êtes intéressés à intégrer la gestion des CSA dans vos offres de services ?
Faites vous connaitre auprès de : etablissement@asipsante.fr
Pour vous communiquer le manuel , vous accompagner dans vos démarches,
échanger pour optimiser les process de demande et gestion des CSA …
