2016-10-13 JNI - "IGC-Santé et évolution carte CPS"
32
IGC-Santé et évolution carte CPS Journée nationale des industriels, 13 octobre 2016
-
Upload
asip-sante -
Category
Technology
-
view
1.513 -
download
0
Transcript of 2016-10-13 JNI - "IGC-Santé et évolution carte CPS"
IGC-Santé et évolution carte CPS Journée nationale des industriels, 13 octobre 2016
IGC-Santé et évolution carte CPS
3
1. Les IGC-CPS existantes
2. L’IGC-Santé et ses impacts
3. Plannings de migration
4. Evolutions annexes de la carte CPS
Sommaire
4
Les IGC-CPS existantes
Rappels : IGC CPS-2ter Certificats embarqués sur cartes CPx
Certificats émis par l’IGC-CPS2ter (Classes 0 à 3)
• Ils sont embarqués dans les cartes de la famille CPS
• Les porteurs finaux sont porteurs de :
Cartes CPS : Professionnels de Santé (professions réglementées)
Cartes CPF : Professionnels de Santé en Formation
Cartes CDE : Directeurs (non PS) d’Établissement de Santé
Cartes CPE : Personnels salariés de structures libérales ou d’Établissements de Santé
Cartes CDA : Directeurs de structures autorisées
Cartes CPA : Personnels de structures autorisées
• Fonctions assurées par les certificats : Identification, Authentification et Signature
Porteurs deCartes CPS
AC RacineSTRUCTURE
ACIClasse-1
ACIClasse-2
ACIClasse-3
ACIClasse-0
AC RacineANONYME
AC RacinePROFESSIONNEL
CPE de Service CPS / CPF CDE / CDA CPE / CPA
Sign
Auth
Sign
Auth
Sign
Auth
Sign
Auth
Directeur
Rappels : IGC CPS-2bis Certificats logiciels
Les certificats émis par l’IGC-CPS2bis (Classes 4 à 6)
• Ils sont logiciels
• Les utilisateurs finaux et les fonctions assurées sont :
Serveurs et clients SSL exploités par des structures, pour des fonctions Authentification client et serveur
Modules S/MIME exploités par des structure, pour des fonctions S/MIME (Signature et Chiffrement)
Personnes Physiques porteurs de cartes CPx, pour des fonctions S/MIME (Chiffrement uniquement)
6
Pourquoi une nouvelle IGC ?
Plusieurs besoins d’évolution recensés :
L’IGC-CPS2bis et l’IGC-CPS2ter expirent fin 2020.
Compte-tenu de la durée de validité des certificats, ces IGCs doivent arrêter d’émettre avant
fin 2017.
Mise à niveau sur les plans techniques et sécuritaires. Les IGCs existantes ne sont pas conformes à l’état de l’art en ce qui concerne : • les standards internationaux de gestion des identités et des signatures/cachets électroniques.
• Les mécanismes cryptographiques utilisés (taille de clés, algorithmes utilisés, …)
Modernisation des services de demande et de gestion des certificats.
Elargissement de l’offre de produits de certification. Mise en conformité de la gamme de Produits de Certification pour Personnes Morales et
Personnes Physiques avec la PGSSI-S.
Proposer une plus grande variété d’usages s’appuyant sur les certificats logiciels.
7
8
L’IGC-Santé et ses impacts
IGC-Santé : Cryptographie utilisée
Caractéristiques cryptographiques de l’IGC-Santé :
9
IGC
Type de certificat
IGC CPS2bis
IGC CPS2ter
IGC Santé
Certificat Racine
(ACR)
RSA 2.048 bits
SHA-1
RSA 2.048 bits
SHA-1
RSA 4.096 bits
SHA-2
Certificat d’Autorité
Intermédiaire (ACI)
RSA 2.048 bits
SHA-1
RSA 2.048 bits
SHA-1
RSA 4.096 bits
SHA-2
Certificats utilisateur RSA 1.024 bits
SHA-1
Signature
RSA 2.048 bits
SHA-1
Authentification
RSA 1.024 bits
SHA-1
RSA 2.048 bits
SHA-2
Cryptographie IGC-Santé conforme aux référentiels applicables
notamment Annexe B1 du RGS v2
IGC-Santé : Architecture
Domaine
FORT STANDARD ELEMENTAIRE
PERSONNES
Le porteur est une personne physique.
Les certificats peuvent être embarqués
dans des cartes CPx ou être logiciels.
Gamme
ORGANISATION
Le porteur est une structure
Les certificats sont logiciels
Certificat logiciel
Carte CPx
L’architecture de l’IGC-Santé repose sur :
• 2 Domaines en fonction du type de porteur de certificat
• 3 Gammes correspondant à des niveaux de confiance
10
IGC-Santé : La hiérarchie de certificats d’Autorité de Certification
La hiérarchie d’AC découle de l’architecture logique Domaine / Gamme
11
Usages : - Authentification - Signature - Chiffrement
AC Racine
« FORT » AC Racine
« STANDARD »
Usages : - Authentification - Signature - Chiffrement
AC Racine
« ELEMENTAIRE »
Professionnels réglementés
Personnels de structures Santé/Social
Personnels de structures autorisées
Personnes morales Serveurs
(hébergés par une Personne Morale)
ACI PERSONNES
ACI ORGANISATIONS
Certificats
Logiciels
IGC-Santé : Ventilation CPx dans les différentes Gammes
12
AC Racine
« ELEMENTAIRE » AC Racine
« STANDARD » AC Racine
« FORT »
ACI
« Personne » ACI
« Personne » ACI
« Personne »
CPE de service CPE / CPA CPS / CPF
IGC-Santé : Plateforme de service pour les certificats logiciels
13
Pour les certificats logiciels, la plateforme de service permet de gérer : 1. La Commande de certificats (demande / retrait)
2. La Révocation de certificats
3. Le Suivi
Plusieurs canaux disponible : IHM, Web service et Canal Mail (interface historique dépréciée).
Portail web : https://pfc.eservices.esante.gouv.fr
IGC-Santé : Impacts généraux
Évolutions nécessaires sur les serveurs et applications centraux et les postes de
travail des utilisateurs pour le passage à l’IGC-Santé :
• Ajout des chaînes de confiance de l’IGC-Santé dans le coffre-fort de l’application (serveurs et postes
de travail). Ces chaînes de confiance sont déjà disponibles et intégrées aux installeurs de la
Cryptolib v5.
• Prise en compte de la nouvelle cryptographie de l’IGC-Santé (algorithme RSA avec clés de 4096 bits
et algorithme de hachage SHA-2 pour les certificats d’AC)
• Vérification ou adaptation des traitements cryptographiques des clés privées (signature, authentification et/ou
déchiffrement)
• Vérification ou adaptation des vérifications des certificats présentés par des acteurs distants (traitements
cryptographiques, usage des CRL et/ou du service OCSP)
• Des adaptations peuvent être nécessaires en fonction du traitement applicatif réalisé pour récupérer
certaines données du certificat.
Certaines applications, en particulier les serveurs applicatifs, doivent être capables de
gérer une cohabitation terrain durant lesquels certains interlocuteurs ont déjà migrés
(certificats IGC-Santé) et d’autres non (certificats IGC-CPS2bis)
14
IGC-Santé : Détail des impacts sur les données du certificat
Extensions des certificats
• Extensions standards
o L’extension « KeyUsage » du certificat de signature est modifiée : le bit « digital signature »
n’est plus positionné
• Extensions spécifiques
o Les extensions spécifiques (gipXXX) sont conservées sans modification dans le certificat,
seul leur nom change dans la documentation
Possibilité d’avoir des certificats logiciels et des certificats carte sur la même
autorité de certification (AC « ELEMENTAIRE » et AC « STANDARD »)
• La distinction s’effectue via l’extension spécifique « ProductCategory »
Structuration du « DN Sujet » des certificats – modifications principales :
• Le champ « OU=Profession » remplacé par le champ « TITLE=Profession »
• Le champ « L=n° département » est remplacé par le champ « ST=n° département »
• Pour les CPE de service
o Le champ « SN=dénomination porteur » est remplacé par le champ
« PSEUDO=dénomination porteur »
o Le champ « GN=prénom usuel » disparaît
15
IGC-Santé : Cryptolib v5 obligatoire
L’exploitation des cartes intégrant des certificats IGC-Santé requiert la mise en
œuvre des composants logiciels apportés par la Cryptolib v5 :
• La carte CPS actuellement déployée est une carte de migration :
o Elle contient un volet propriétaire CPS2ter conforme à l’ancienne génération de cartes
o Elle contient un volet IAS conforme aux standards industriels volet unique en cible
• La Cryptolib v5 actuellement diffusée est un middleware de migration :
o Elle contient les anciennes versions de composants permettant d’adresser le volet historique
CPS2ter
o Elle contient les nouveaux composants permettant d’adresser le volet standard IAS seuls
ces composants seront conservés en cible
La carte CPS intégrant l’IGC-Santé va permettre d’achever cette migration : le
volet historique CPS2ter ne portera plus les fonctions cryptographiques (les bi-
clés et certificats ne seront plus stockés dans ce volet).
Les logiciels exploitants les fonctionnalités cryptographiques de
la carte CPS IGC-Santé doivent s’appuyer sur les nouveaux
composants apportés par la Cryptolib v5
16
IGC-Santé : Documentation disponible
17
Référentiel documentaire IGC-Santé disponible sur le site « intégrateur CPS » :
• Note de présentation générale de l’IGC-Santé :
http://integrateurs-cps.asipsante.fr/IGC-Sante
• Note technique détaillée sur les impacts et la migration :
http://integrateurs-cps.asipsante.fr/IGC-Sante-migration
• Autres ressources disponibles :
• JNI du 30/09/2015 : annonce de l’arrivée de l’IGC-Santé avec focus sur l’Etape 1 – Certificats logiciels.
http://esante.gouv.fr/actus/politique-publique/journee-nationale-des-industriels-du-30-septembre-bilan-et-presentations
Mailing du 08/01/2016 : campagne d’emailing à destination des industriels sur l’arrivée de l’IGC-Santé contenant les liens
vers le fond documentaire associé.
Information également diffusée via le fil RSS « Actualités CPS » du site Intégrateurs CPS.
http://integrateurs-cps.asipsante.fr/informations_cps/news
Mailing du 17/05/2016 : campagne d’emailing à destination des industriels sur la disponibilité des certificats logiciels IGC-
Santé et rappelant les travaux à mener.
Information également publiée sur le site institutionnel de l’ASIP Santé.
http://esante.gouv.fr/actus/services/editeurs-integrateurs-mettez-a-jour-vos-certificats-grace-a-la-nouvelle-igc-sante
Paris Healthcare Week (25/05/2016) : Atelier « Nouvelle IGC Santé & migration : cas pratique MSSanté ».
http://fr.slideshare.net/esante_gouv_fr/20160525-asip-sant-ateliers-phw16-nouvelle-igc-sant-migration-cas-pratique-mssant
JNI du 13/10/2016 : Reprise globale de la description IGC-Santé et de ses impacts avec confirmation du planning carte
annoncé dans la documentation existante.
IGC-Santé : Synthèse des communications réalisées
1 2 3 4 5
1
2
3
Sept. 2015 Janv. 2016 Mai 2016 Oct. 2016
4
5
18
19
Plannings de migration
IGC-Santé : Planning certificats logiciels (Rappel)
20
L’ouverture de l’IGC-Santé sur le périmètre certificat logiciel est effective depuis avril 2016 :
• Dès T0, il est possible de délivrer des certificats de test et de production.
• A T2 (fin février 2017) : arrêt d’émission de certificats logiciels par la plateforme actuelle (IGC-CPS2bis).
• Les certificats logiciels émis restent valides et utilisables jusqu’à leur expiration.
• Les CRLs continuent à être fournies.
Avril 2016 Fév. 2017
Planning de la migration vers la
nouvelle IGC – Certificats logiciels
Ancienne IGC (IGC-2bis)
Production des certificats logiciels de l’ancienne
IGC
Période de validité des certificats de l’ancienne
IGC après fin d’émission
Nouvelle IGC (IGC Santé)
Ouverture IGC Santé
Extinction
de l’IGC-
2bis
T0 T2 Fin 2020
IGC-Santé : Planning certificats carte
21
L’ouverture de l’IGC-Santé sur le périmètre carte n’est pas encore effective mais la documentation
technique disponible couvre déjà ce périmètre.
• Janvier 2017 (2ème quinzaine) : disponibilité des carte de TEST.
• Octobre 2017 : date ciblée pour l’émission terrain des première cartes CPx IGC-Santé.
Janv. 2017 Oct. 2017
Planning de la migration vers la
nouvelle IGC – Cartes CPx
Ancienne IGC (IGC-2ter)
Production des cartes de l’ancienne IGC
Période de validité des cartes de l’ancienne IGC
après fin d’émission
Nouvelle IGC (IGC Santé)
Mise à disposition des cartes de TEST à
destination des éditeurs et promoteurs
d’applications
Emission terrain des cartes IGC-Santé vers les
utilisateurs finaux
Extinction
de l’IGC-
2ter
Fin 2020
22
Evolutions annexes de la carte CPS
Evolutions annexes de la cartes CPS
Deux évolutions de la carte CPS sont en cours, elles visent à mieux répondre aux
besoins en établissements de santé :
Amélioration du niveau de compatibilité avec les solutions terrain déployées pour les usages
sans-contact (contrôle d’accès physique, badge de cantine, …)
Intégration de la technologie Mifare au niveau de la puce (Mifare Classic 1K).
Ajout d’un moyen d’identification supplémentaire sur le visuel de la carte :
Un code barre correspondant à la valeur de l’identifiant national du porteur figurera
au verso de la carte, encodé en code 128 (norme NF EN 799)
23
Ces évolutions seront disponibles en production à partir de Juillet 2017
24
Impacts IGC Santé sur le DMP
Actualité et Impacts IGC Santé sur le DMP
25
Transfert du DMP à la CNAMTS La CNAMTS est responsable du DMP depuis le 05 juillet 2016
L’ASIP Santé et la CNAMTS collaborent pour assurer la transition
Le point d’entrée pour les éditeurs à la cellule DMP-Compatibilité est toujours pour le moment [email protected]
Impacts IGC Santé sur le DMP N’est abordé aujourd’hui que les impacts du déploiement des certificats logiciels de l’IGC
Santé (les impacts de la migration des cartes CPx en IGC santé sera traité ultérieurement)
Une migration est à réaliser seulement pour les éditeurs de logiciels DMP-Compatible en authenfication indirecte
Pour assurer une continuité de service pendant la migration, le système DMP sera compatible avec l’IGC CPS2BIS et l’IGC SANTE.
Cependant, l’ASIP Santé ne produira plus de certificats issus de l’IGC CPS2Bis à partir de
mars 2017. Il est donc nécessaire que les éditeurs aient migrés avant mars 2017 puisqu’un établissement de santé ne pourra commander à partir de mars 2017 que des certificats IGC Santé .
Impacts IGC Santé sur le DMP
26
Dates importantes 10 octobre 2016 : l’ASIP Santé a transmis aux éditeurs de logiciels DMP-compatible en
authentification indirecte, un package d’accompagnement pour la migration :
o Le DSFT en v1.0.5 transmis en avance de phase prenant en compte l’IGC santé
o Une notice de migration
o Des codes exemples en C# et JAVA
o Dès cette date, des environnements de tests du DMP compatibles avec l’IGC Santé sont à disposition des éditeurs
Novembre 2016 : le DMP en production est compatible avec l’IGC Santé
1er mars 2017 :arrêt de l’émission des certificats de l’IGC CPS2BIS
Travaux à mener par les éditeurs de logiciels DMP Compatibles en authentification indirecte
Commande de certificats
o Commander des certificats IGC Santé de test
o Renouveler avant mars 2017 les certificats IGC CPS2BIS de test
Travaux de migration
o Contacter la cellule dmp-compatibilité
o Réaliser les travaux de migration
o Se présenter à une homologation simplifiée qui sera validée par un Comité d’Homologation
o Déployer sa solution
S’assurer auprès de leurs clients de la date de fin de validité de leur(s) certificat(s) IGC CPS 2Bis, pour s’assurer que le logiciel sera migré et déployé avant expiration de leur certificat
27
Impacts IGC Santé sur MSSanté
Impacts IGC Santé sur MSSanté Introduction
28
Quels sont les certificats concernés ? Les certificats logiciel IGC CPS 2bis présentés par :
o les opérateurs MSSanté
o l’annuaire national MSSanté
Qui est concerné ? Le gestionnaire de l’espace de confiance MSSanté
o L’ASIP Santé a défini la stratégie de migration, fait évoluer les composants de l’espace de confiance (DSFT opérateurs MSSanté, liste blanche, annuaire), fourni des moyens de test
Les éditeurs de connecteurs MSSanté
o Doivent se mettre en capacité d’accepter la nouvelle IGC Santé dans les échanges entre connecteurs et avec l’annuaire national MSSanté
Les opérateurs MSSanté
o Doivent disposer d’un connecteur MSSanté compatible DSFT 1.1 avant fin février 2017
o Doivent se déclarer conforme à la nouvelle version du DSFT 1.1 auprès de l’ASIP Santé avant le 15 mars 2017
Les éditeurs de logiciels métier compatibles avec le DST « clients de messagerie »
o Pour les clients utilisant l’opérateur ASIP Santé (service des ordres) :
• Migration à partir de mi 2017 au rythme de l’éditeur
o Pour les clients utilisant d’autres opérateurs DST compatibles :
• La stratégie de migration est propre à chaque opérateur
Impacts IGC Santé sur MSSanté Stratégie de migration IGC Santé - Opérateurs MSSanté
29
Pourquoi migrer ? Pour assurer la cohabitation entre les opérateurs utilisant l’IGC CPS 2bis et l’IGC Santé
Quelle stratégie ? Tous les opérateurs doivent être compatibles IGC Santé avant l’arrivée du premier
opérateur utilisant un certificat IGC Santé
Avant mars 2017 :
o Les éditeurs adaptent les connecteurs MSSanté pour être compatibles avec les 2 IGC
o Les éditeurs les déploient chez les opérateurs
o Les opérateurs continuent d’utiliser un certificat IGC CPS 2bis
o Aucun opérateur n’utilise de certificat IGC Santé dans l’espace de confiance
Après mars 2017 :
o Les opérateurs peuvent utiliser des certificats IGC Santé :
• Cas d’un nouvel opérateur
• Cas d’un opérateur dont le certificat IGC CPS 2bis expire
Impacts IGC Santé sur MSSanté Stratégie de migration IGC Santé - Opérateurs MSSanté
30
Calendrier :
Juillet 2016 :
o Publication de la version projet du DSFT MSSanté 1.1
Septembre 2016 :
o Publication du DSFT MSSanté 1.1
o Publication de la notice de migration IGC Santé pour MSSanté
o Emailling adressé à l’ensemble des opérateurs et des industriels MSSanté compatibles
Octobre 2016 :
o Possibilité de tester l’envoi et la réception de messages avec le connecteur de test IGC-Santé
o Disponibilité du cahier de tests actualisé d’intégration à l’espace de confiance
Novembre 2016 :
o Possibilité de tester l’alimentation et l’extraction sur l’annuaire MSSanté de test « partenaires »
Mars 2017 :
o Tous les connecteurs MSSanté doivent être compatibles avec l’IGC Santé
o Chaque opérateur doit avoir confirmé sa conformité avec les exigences du DSFT 1.1
o Un premier opérateur peut utiliser un certificat IGC Santé dans l’espace de confiance
Impacts IGC Santé sur MSSanté Stratégie de migration IGC Santé - Opérateurs MSSanté
31
Ressources mises à disposition : Sur le portail mssante.fr : DSFT, notice de migration, cahier de tests
https://www.mssante.fr/is/doc-technique
Les échanges de messages de tests peuvent être menés dès à présent :
o Nouvelle liste blanche contenant le connecteur de test IGC Santé
https://espacedeconfiance.mssante.fr/listeblanchemssante.xml
o BAL de test IGC Santé :
Réunion industriels « Migration IGC Santé pour MSSanté »
o mardi 8 novembre à l’ASIP Santé (après-midi)
A votre disposition : Equipe MSSanté Compatibilité : [email protected]
Merci de votre attention
32
