2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"

1. Description des spcifications fonctionnelles et techniques pour sintgrer lespace de confiance.

2. 2 Sommaire I. Le systme MSSant et lespace de confiance Le Contexte: Etat des lieux Lespace de confiance MSSant, le service ASIP Sant pour le compte des Ordres Comment un oprateur intgre-t-il lespace de confiance MSSant ? Introduction DSFT Oprateurs, DST Clients de messagerie II. DSFT Oprateurs Exigences fonctionnelles et techniques applicables aux oprateurs MSSant Interfaces clientes proposes par les oprateurs Interfaces daccs lAnnuaire National MSSant pour les oprateurs Exemples de diffrentes architectures III. DST Clients de messagerie Spcifications du service de loprateur ASIP pouvant tre implmentes par dautres oprateurs Interfaces : IMAP/SMTP sur TLS & Web Services Accs lAnnuaire National MSSant IV. Modalits et Plans de tests MSSant DSFT Oprateurs et DST Clients de messagerie

4. 4 Contexte : Etat des lieux Les professionnels de sant ont besoin dchanger des donnes de sant dans le respect de la confidentialit autour du patient Lusage de messageries personnelles non scurises sur les mobiles et en ligne sest dvelopp de faon massive Plusieurs systmes de messageries de sant existent, mais ceux-ci : Ne sont pas interoprables entre eux et fdrent peu dutilisateurs Sadressent essentiellement la mdecine de ville Ne proposent pas des conditions satisfaisantes de confidentialit des changes MSSant DSFT Oprateurs et DST Clients de messagerie

5. 5 Contexte : Etat des lieux Constat : Les changes de donnes de sant sont raliss principalement par des services de messagerie non scuriss, par courrier, par tlphone, etc. Systme de Messageries Scurises de Sant (MSSant): Messagerie lectronique traditionnelle avec des fonctionnalits spcifiques. Objectif de MSSant: Permettre les changes scuriss, entre tous les professionnels habilits MSSant DSFT Oprateurs et DST Clients de messagerie

7. 7 Lespace de confiance MSSant : Les Oprateurs Oprateurs : Intgrs dans lespace de confiance MSSant changent au sein de cet espace ferm via des canaux scuriss Oprateurs multiples interoprables entre eux MSSant DSFT Oprateurs et DST Clients de messagerie

8. 8 Lespace de confiance MSSant : La Liste Blanche Liste blanche : Enregistrement de tous les domaines de messagerie des oprateurs autoriss changer dans lespace de confiance MSSant DSFT Oprateurs et DST Clients de messagerie

9. 9 Lespace de confiance MSSant : LAnnuaire National MSSant Annuaire National MSSant Aliment par les oprateurs Recense lensemble des utilisateurs (nom, profession, identifiant RPPS ou Adeli) Plusieurs adresses de messageries correspondant aux diffrentes situations dexercices MSSant DSFT Oprateurs et DST Clients de messagerie

10. 10 Lespace de confiance MSSant, un systme scuris Rle des oprateurs : Grer et offrir des services de messagerie une communaut ferme dutilisateurs clairement identifis Un systme scuris: Identits certifies Traabilit de tous les changes Intgrit des messages MSSant DSFT Oprateurs et DST Clients de messagerie

11. 11 Le service MSSant propos par lASIP Sant MSSant DSFT Oprateurs et DST Clients de messagerie

12. 12 Le service MSSant propos par lASIP Sant Le service de messagerie opr par lASIP Sant Loprateur ASIP Sant propose pour le compte des Ordres professionnels un service: Accessible lensemble des professionnels disposant dune carte CPS Webmail minimum Une seule BAL nominative par PS BAL : 2 Go, PJ de 10Mo Pr-requis : poste de travail / lecteur de carte connect / configuration jour 2 modes dauthentification forte aprs activation du compte avec la carte CPS : Avec la carte CPS, Par Identifiant / Mot de passe + code daccs usage unique (OTP) aprs activation avec la carte CPS Des volutions venir en 2014 : Interfaces daccs au service par WebServices et SMTP/IMAP sur TLS (disponible) Un client de messagerie open source compatible MSSant (disponible) Un accs en situation de mobilit (smartphone, tablette) MSSant DSFT Oprateurs et DST Clients de messagerie

14. 14 Comment un oprateur intgre t-il lespace de confiance MSSant ? MSSant DSFT Oprateurs et DST Clients de messagerie

15. 15 Devenir oprateur MSSant Intgration lespace de confiance MSSant Principes Gestionnaire de lespace de confiance, lASIP Sant encadre son utilisation et son fonctionnement : Un contrat est conclu entre lASIP Sant et chaque oprateur Il a pour objet de dterminer les conditions dintgration de loprateur lespace de confiance MSSant et dfinir les droits et obligations de chaque partie. Le contrat impose loprateur de se conformer aux exigences du DSFT : Techniques, fonctionnelles et juridiques, Respect de la loi informatique et liberts et des dispositions relatives lhbergement de donnes de sant. En pratique Aprs signature du contrat, lintgration lespace de confiance se droule en 2 temps 1er temps : lintgration provisoire, loprateur teste et value son service de messagerie scurise de sant avec des changes de tests, entre BAL de tests sans donnes de sant caractre personnel 2me temps : lintgration valide loprateur envoie lASIP Sant son engagement de conformit aux exigences du DSFT laccus de rception lui permet de proposer son service de messagerie tout utilisateur final qui pourra ainsi changer des donnes de sant dans lespace de confiance MSSant Les oprateurs peuvent tre audits MSSant DSFT Oprateurs et DST Clients de messagerie

16. 16 Rcapitulatif des actions raliser pour passer en production 1. Signature du contrat oprateur 2. Commande du certificat serveur de production 3. Ralisation des tests 3bis. Autorisation unique CNIL 4. Dclaration respect des exigences du DSFT 5. Validation de lintgration au sein de lespace de confiance Ajout liste blanche intgration provisoire 0. Envoi du package Oprateur Contrat oprateur pr-rempli Formulaire de commande CSA Formulaire de commande CPE administrateur technique MSSant DSFT Oprateurs et DST Clients de messagerie

18. 18 DSFT DSFT DSFT DST DST Format propritaire Format propritaire DST Interfaces standard dcrites dans le DST (facultatives) Interfaces format propritaire

20. 20 DSFT DSFT DSFT

21. 21 Sommaire I. Le systme MSSant et lespace de confiance Le Contexte: Etat des lieux Lespace de confiance MSSant, le service ASIP Sant pour le compte des Ordres Comment un oprateur intgre-t-il lespace de confiance MSSant ? Introduction DSFT Oprateurs, DST Clients de messagerie II. DSFT Oprateurs Exigences fonctionnelles et techniques applicables aux oprateurs MSSant Interfaces clientes proposes par les oprateurs Interfaces daccs lannuaire national MSSant pour les oprateurs Exemples de diffrentes architectures III. DST Clients de messagerie Spcifications du service de loprateur ASIP pouvant tre implmentes par dautres oprateurs Interfaces : IMAP/SMTP sur TLS & Web Services Accs lannuaire national MSSant IV. Modalits et Plans de tests MSSant DSFT Oprateurs et DST Clients de messagerie

22. 22 DSFT Oprateurs v1.0.0 Le DSFT Oprateurs prsente : Le contexte et les principes du systme de Messageries Scurises de Sant Des exemples dimplmentations de services de messageries scurises Les exigences fonctionnelles et techniques respecter par les Oprateurs MSSant MSSant DSFT Oprateurs et DST Clients de messagerie

23. 23 Exigences fonctionnelles et techniques respecter par les oprateurs Les exigences : Peuvent tre fonctionnelles ou techniques Couvrent lensemble des fonctionnalits dfinies dans le DSFT Scurisation des changes Interfaces avec lAnnuaire National MSSant Interrogation de la liste blanche Rception et mission de messages Autres exigences (Traces, Synchronisation du temps, ) Sappliquent chacun des oprateurs Les oprateurs MSSant sengagent contractuellement tre conformes lensemble des exigences du DSFT (conditionne leur intgration valide dans lespace de confiance MSSant) MSSant DSFT Oprateurs et DST Clients de messagerie

25. 25 Interfaces clientes proposes par les oprateurs MSSant Loprateur ASIP Sant propose 2 modalits daccs du client au serveur de messagerie: Protocoles standards de messagerie : SMTP et IMAP sur TLS Un catalogue de Web Services offrant des fonctionnalits quivalentes IMAP et SMTP Les oprateurs et les diteurs mettent en place les interfaces quils souhaitent. (respect des exigences de la CNIL et de lagrment HDS) LASIP Sant publiera sur le portail MSSant les interfaces clientes standards exposes par chaque oprateur afin daider les diteurs et leurs utilisateurs vrifier la compatibilit de leur logiciel avec les interfaces proposes par loprateur. MSSant DSFT Oprateurs et DST Clients de messagerie

27. 27 Annuaire National MSSant Aliment par les oprateurs Recense lensemble Boites aux lettres des utilisateurs (nom, profession, identifiant RPPS ou Adeli) Interfaces daccs lAnnuaire National MSSant MSSant DSFT Oprateurs et DST Clients de messagerie

28. 28 Quels types de Boite aux Lettres (BALs) ? BAL nominatives Professionnels de sant possdant un identifiant national N RPPS/ADELI Professionnels de sant sans RPPS ni ADELI (PS tranger, PS en formation) sous responsabilit de lES autorit denregistrement BAL organisationnelles, non nominatives BAL de service ex : [email protected] ex : [email protected] ex : [email protected] BAL applicatives BAL pour les automates ex : [email protected] ex : [email protected] @ @ @SIL (SI Laboratoire) MSSant DSFT Oprateurs et DST Clients de messagerie

29. 29 Interfaces daccs lAnnuaire National MSSant Spcificits des BALs MSSant Possibilit pour un utilisateur dtre inscrit en liste rouge Possibilit pour un utilisateur de publier son numro de tlphone Choix de lutilisateur concernant son acceptation du zro papier Loprateur MSSant doit obligatoirement tre en mesure de grer le cycle de vie des comptes de messagerie de ses utilisateurs, cest--dire : Publier, Modifier, Supprimer dans lAnnuaire National MSSant les BAL de chacun de ses utilisateurs. Publication de BALs par Web Service en mode Global (Authentification par certificat logiciel de personne morale dlivr par lASIP Sant) Compte rendu dalimentation MSSant DSFT Oprateurs et DST Clients de messagerie

30. 30 Interfaces daccs lAnnuaire National MSSant Consultation des BALs Consultation de lAnnuaire National MSSant Deux modalits techniques pour la recherche de correspondants dans lAnnuaire National MSSant : Le protocole LDAP (interface rserve aux utilisateurs finaux et ne doit pas tre utilise pour rcuprer lintgralit du contenu de lannuaire national MSSant de manire automatise) Un Web Service de recherche spcifique (non disponible actuellement) Extraction de lAnnuaire National MSSant (pour les oprateurs) Elle contient lensemble des BAL MSSant, tous domaines de messagerie confondus (A lexception des BALs sur liste rouge ) Un Web Service permet de rcuprer lextraction (Authentification par certificat logiciel de personne morale dlivr par lASIP Sant) MSSant DSFT Oprateurs et DST Clients de messagerie

31. 31 Tlchargement des donnes didentits Objectif : Avoir un rfrentiel PS jour pour les oprateurs ( et prparer la publication des BAL MSSant des utilisateurs finaux des oprateurs dans lAnnuaire National MSSant) Tlchargement des donnes didentits Donnes caractre personnel de personnes physiques des secteurs sanitaire et mdico-social - porteurs et non porteurs de cartes CPS Donnes issues de rpertoires nationaux didentit qui comprennent notamment les identifiants nationaux Un Web Service permet de rcuprer lextraction des donnes didentits Authentification par certificat logiciel de personne morale dlivr par lASIP Sant MSSant DSFT Oprateurs et DST Clients de messagerie

33. 33 Exemples darchitectures Solution MSSant distincte du serveur de messagerie standard MSSant DSFT Oprateurs et DST Clients de messagerie

34. 34 Exemples darchitectures Solution unifie (serveur de messagerie standard + MSSant) MSSant DSFT Oprateurs et DST Clients de messagerie

35. 35 Exemples darchitectures Solution proxy complmentaire au serveur de messagerie standard MSSant DSFT Oprateurs et DST Clients de messagerie

36. 36 Exemples darchitectures LAnnuaire National MSSant MSSant DSFT Oprateurs et DST Clients de messagerie

38. 38 Sommaire I. Le systme MSSant et lespace de confiance Contexte, dmarche, planning Espace de confiance, nature des changes, oprateur de messagerie MSSant, le service ASIP Sant pour le compte des Ordres Quels bnfices pour les acteurs ? Quelles stratgies ? II. DSFT Oprateurs Exigences fonctionnelles et techniques applicables aux oprateurs MSSant Interfaces clientes proposes par les oprateurs Interfaces daccs lannuaire national MSSant pour les oprateurs Exemples de diffrentes architectures III. DST Clients de messagerie Spcifications du service de loprateur ASIP pouvant tre implmentes par dautres oprateurs Interfaces : IMAPS/SMTPS & Web Services Accs lannuaire national MSSant IV. Modalits et Plans de tests V. Dmonstrations Mobilit et Thunderbird DST DST DST Interfaces standard dcrites dans le DST (facultatives)

40. 40 DST Clients de messagerie v.0.9.5 Le DST Clients de messagerie prsente : Le contexte et les principes daccs au service de messagerie de loprateur ASIP Sant Les spcifications techniques permettant dinterfacer un client de messagerie avec le service de messagerie de loprateur ASIP Sant Ces spcifications techniques ne simposent pas aux autres oprateurs de lespace de confiance MSSant Les oprateurs peuvent reprendre les spcifications du DST pour faciliter linterfaage des clients de messagerie avec leur service Les oprateurs et diteurs sont libres de mettre en uvre tout autre protocole de messagerie conforme aux exigences rglementaires, y compris des protocoles propritaires MSSant DSFT Oprateurs et DST Clients de messagerie

41. 41 DST Clients de messagerie v.0.9.5 Rles dun client de messagerie dans le systme MSSant Rles dun client de messagerie MSSant Raliser les tches de messagerie classiques (envoyer, recevoir et stocker des courriers lectroniques) Effectuer certaines tches dadministration et de gestion de messagerie (Gestion de dossiers personnels, Filtrage des courriers entrants) Permettre la recherche de PS dans lAnnuaire National MSSant Les clients MSSant ne ncessitent pas dhomologation MSSant DSFT Oprateurs et DST Clients de messagerie

42. 42 DST Clients de messagerie v.0.9.5 Interoprabilit des changes de donnes de sant structures Les clients de messagerie et les changes de pices jointes standardises Le systme MSSant favorise linteroprabilit des changes de donnes structures entre applicatif Lmetteur et le destinataire du message doivent disposer dune adresse mail sur un domaine de messagerie appartenant lespace de confiance MSSant. Le Cadre dinteroprabilit (CI-SIS) Volet Echange de Documents de Sant, dfinit les modalits dchanges de documents de sant via la messagerie lectronique scurise Echange de pices jointes standardises sur la logique du profil IHE-XDM (pour les destinataires dont le client de messagerie ne sait pas grer le format XDM, une pice jointe PDF pourra tre ajoute en plus de la pice jointe XDM) Les changes XDM pourront tre raliss avec un identifiant patient qui ne sera pas ncessairement lINS MSSant DSFT Oprateurs et DST Clients de messagerie

44. 44 DST

45. 45 DST Clients de messagerie v.0.9.5 Les interfaces daccs au service de messagerie de lOprateur ASIP Sant Loprateur ASIP Sant standardise 2 modalits daccs du client de messagerie son service de messagerie Les protocoles standards de messagerie : SMTP (mission de messages) et IMAP (rception / gestion des messages) sur TLS Un catalogue de Web Services offrant des possibilits quivalentes IMAP et SMTP Loprateur ASIP dispose galement de deux interfaces propritaires : Un webmail Un accs mobilit DST MSSant DSFT Oprateurs et DST Clients de messagerie

46. 46 DST Clients de messagerie v.0.9.5 Protocoles standards de messagerie : SMTP et IMAP sur TLS Accs au service par les protocoles classiques de messagerie Pour les transactions utilisant les protocoles SMTP et IMAP sur TLS, le seul moyen dauthentification possible est la carte CPS Une authentification forte de l'utilisateur via l'tablissement d'une session TLS avec prsentation du certificat dauthentification CPS est requise Le serveur contrle les oprations de messagerie autorises l'utilisateur sur un compte de messagerie via lidentifiant (login) prsent Les protocoles SMTP et IMAP sur TLS permettent dassurer lidentification et lauthentification rciproque du client et des serveurs et dassurer la confidentialit des changes MSSant DSFT Oprateurs et DST Clients de messagerie

47. 47 DST Clients de messagerie v.0.9.5 Web Services de messagerie Accs au service de loprateur ASIP sant par Web Services Laccs ces Web Services se fait par une authentification pralable, matrialise par lobtention dun jeton dauthentification (assertions SAML 2.0) selon le profil SAML ECP Loprateur ASIP Sant propose les modes dauthentification suivants, non limitatifs : une authentification par carte CPS (via ltablissement dune connexion TLS symtrique), identifiant, mot de passe et code daccs usage unique transmis par SMS ou email MSSant DSFT Oprateurs et DST Clients de messagerie Le catalogue est compos de plusieurs transactions de Web Services SOAP, regroupes en 5 grands domaines Services de consultation et gestion des dossiers Services envoi et gestion de messages Services envoi et consultation des pices jointes Services consultation et recherche de messages Service de recherche de BAL correspondant un Professionnel de Sant

48. 48 Sommaire I. Le systme MSSant et lespace de confiance Le Contexte: Etat des lieux Lespace de confiance MSSant, le service ASIP Sant pour le compte des Ordres Comment un oprateur intgre-t-il lespace de confiance MSSant ? Introduction DSFT Oprateurs, DST Clients de messagerie II. DSFT Oprateurs Exigences fonctionnelles et techniques applicables aux oprateurs MSSant Interfaces clientes proposes par les oprateurs Interfaces daccs lAnnuaire National MSSant pour les oprateurs Exemples de diffrentes architectures III. DST Clients de messagerie Spcifications du service de loprateur ASIP pouvant tre implmentes par dautres oprateurs Interfaces : IMAPS/SMTPS & Web Services Accs lAnnuaire National MSSant IV. Modalits et Plans de tests MSSant DSFT Oprateurs et DST Clients de messagerie

49. 49 DST Clients de messagerie v.0.9.5 Consultation de lAnnuaire National MSSant La recherche de correspondants dans lAnnuaire National MSSant peut tre excute selon plusieurs modalits techniques, en utilisant au choix : Le protocole LDAP Utilisation de la fonction LDAP Search - les commandes de recherche LDAP envoyes par le client de messagerie doivent tre conformes aux standards Les champs standards LDAP communment utiliss dans les clients de messagerie du march sont utiliss pour tous les critres de recherche correspondant aux donnes de lannuaire national MSSant afin de faciliter son usage dans ce type de logiciel Pas dauthentification requise Numro de tlphone (le cas chant) non publi Interface rserve aux utilisateurs finaux et ne doit pas tre utilise pour rcuprer lintgralit du contenu de lannuaire national MSSant de manire automatise Un Web Service de recherche spcifique (non disponible actuellement) MSSant DSFT Oprateurs et DST Clients de messagerie

51. 51 Modalits de tests / Plans de tests Environnements de tests proposs par lASIP Sant Loprateur ASIP Sant prvoit de fournir un environnement de tests exposant les 2 interfaces daccs son service de messagerie SMTP / IMAP sur TLS Web Services de messagerie Les modalits daccs et les fournitures associes sont en cours de mise au point LASIP Sant prvoit de fournir un Annuaire National MSSant de tests proposant les diffrentes interfaces Web Services en mode rpondeur Web Services Alimentation / Consultation de lannuaire national pour les oprateurs Web Service de tlchargement des identits MSSant DSFT Oprateurs et DST Clients de messagerie

52. Merci de votre attention Mail : [email protected] MSSant DSFT Oprateurs et DST Clients de messagerie

2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"

Health & Medicine

Transcript of 2014-05-22 ASIP Sante Ateliers SSA 2014 "140521_HIT_MSSante_DSFT.pptx"