Download - Énoncé de politique du prestataire de services de certification du ... · Énoncé de politique du prestataire de services de certification du secteur de la santé pendant la phase

Énoncé de politique du prestataire de services de certification du secteur de la santé pendant la phase expérimentale

Identificateur d’objet de politique (OID) : 2.16.124.10.101.8.5.4.1 Date : 1er juillet 2009 Version : 1.1

Propriétaire

Tampon

sur 30

Table des matières

1. INTRODUCTION .......................................................................................................................................... 5

1.1 MISE EN CONTEXTE ................................................................................................................................... 5 1.2 OBJET ........................................................................................................................................................ 5 1.3 ACRONYMES ............................................................................................................................................. 5 1.4 DÉFINITIONS .............................................................................................................................................. 6

1.4.1 Certificat ........................................................................................................................................... 6 1.4.2 Dispositif ........................................................................................................................................... 6 1.4.3 Intervenant habilité ........................................................................................................................... 6 1.4.4 Identificateur d’objet ........................................................................................................................ 6 1.4.5 Liste des numéros des certificats annulés (LNCA) ........................................................................... 6 1.4.6 Non-intervenant ................................................................................................................................ 6 1.4.7 Objet ................................................................................................................................................. 6 1.4.8 Personne qui agit en se fondant sur un certificat ............................................................................. 6 1.4.9 Prestataire de services de certification (PSC) .................................................................................. 7 1.4.10 Prestataire de services de répertoire (PSR) ..................................................................................... 7 1.4.11 Profil d’accès .................................................................................................................................... 7 1.4.12 Registre des intervenants .................................................................................................................. 7 1.4.13 Registre des titulaires de certificats (RTC) ....................................................................................... 7 1.4.14 Répertoire des certificats .................................................................................................................. 7 1.4.15 Responsable d’objet (RO) ................................................................................................................. 7 1.4.16 SécurSanté ........................................................................................................................................ 7 1.4.17 Titulaire de certificat ........................................................................................................................ 7

2. DISPOSITIONS GÉNÉRALES .................................................................................................................... 8

2.1 RÔLES ET RESPONSABILITÉS ...................................................................................................................... 8 2.1.1 Ministre de la Santé et des Services sociaux .................................................................................... 8 2.1.2 Prestataire de services de certification (PSC) .................................................................................. 8 2.1.3 Prestataire de services de répertoire (PSR) ..................................................................................... 9 2.1.4 Gestionnaire des profils d’accès (GPA) ......................................................................................... 10 2.1.5 Agent de vérification de l’identité (AVI) ......................................................................................... 10 2.1.6 Responsable d’objet (RO) ............................................................................................................... 11 2.1.7 Titulaire de certificat ...................................................................................................................... 11

sur 30

2.1.8 Personne qui agit en se fondant sur un certificat ........................................................................... 12 2.2 L’UTILISATION DES CERTIFICATS ............................................................................................................. 12

2.2.1 Usage approprié des certificats ...................................................................................................... 12 2.2.2 Restrictions et limites d’utilisation d’un certificat .......................................................................... 13

3. DESCRIPTION DES SERVICES DE CERTIFICATION ....................................................................... 14

3.1 PROCÉDURES RELATIVES À LA VÉRIFICATION DE L’IDENTITÉ .................................................................. 14 3.1.1 Identification et vérification de l’identité lors de la délivrance d’un certificat .............................. 14 3.1.2 Identification et vérification de l’identité au moment de la modification d’un certificat ............... 14 3.1.3 Identification et vérification de l’identité au moment de l’annulation d’un certificat .................... 15

3.2 PROCEDURES OPERATIONNELLES RELATIVES A LA GESTION DES CERTIFICATS ........................................ 15 3.2.1 Délivrance d’un certificat ............................................................................................................... 16 3.2.2 Mise à jour des renseignements contenus au certificat .................................................................. 17 3.2.3 Annulation d’un certificat à la demande d’un tiers ........................................................................ 18 3.2.4 Registre des titulaires de certificats (RTC) ..................................................................................... 18

3.3 PROCEDURES RELATIVES A LA GESTION DES DISPOSITIFS ........................................................................ 19 3.3.1 Rôle et responsabilités du propriétaire du dispositif ...................................................................... 19 3.3.2 Remplacer un dispositif .................................................................................................................. 19

3.4 MESURES ET CONTROLES DE SECURITE PHYSIQUES ET ADMINISTRATIVES ............................................... 20 3.4.1 Mesures de sécurité physiques ........................................................................................................ 20 3.4.2 Mesures de sécurité administratives ............................................................................................... 22 3.4.3 Compromission, corruption, désastre et reprise après sinistre ...................................................... 23

3.5 MESURES DE SECURITE TECHNIQUE ......................................................................................................... 24 3.5.1 Génération et installation de paires de clés ................................................................................... 24

3.6 PROTECTION DE LA CLÉ PRIVÉE DE L’AC ................................................................................................ 26 3.6.1 Références aux modules cryptographiques ..................................................................................... 26 3.6.2 Contrôles d’accès aux clés privées ................................................................................................. 26 3.6.3 Conservation de clés privées pour dépôt ........................................................................................ 26 3.6.4 Prise de copies pour la clé privée et conservation ......................................................................... 26 3.6.5 Archivage des clés privées .............................................................................................................. 26

3.7 CONTRÔLE DE SÉCURITÉ INFORMATIQUE................................................................................................. 26 3.8 DONNÉES D’ACTIVATION ......................................................................................................................... 27

3.8.1 Activation des clés privées des utilisateurs ou des objets ............................................................... 27 3.8.2 Procédures de contrôle ................................................................................................................... 27

3.9 PÉRIODE DE VALIDITÉ DES CERTIFICATS .................................................................................................. 27

sur 30

3.10 PUBLICATION DES CLÉS ........................................................................................................................... 27 3.11 FORMAT ET CONTENU DES CERTIFICATS .................................................................................................. 27

3.11.1 Format des certificats ..................................................................................................................... 27 3.11.2 Nom distinctif .................................................................................................................................. 27 3.11.3 Contenu des certificats ................................................................................................................... 28

3.12 FORMAT ET CONTENU DE LA LISTE DES NUMEROS DES CERTIFICATS ANNULES (LNCA) ......................... 28 3.12.1 Format de la LNCA ........................................................................................................................ 28 3.12.2 Contenu de la LNCA ....................................................................................................................... 28

3.13 FORMAT ET CONTENU DU REPERTOIRE DES CERTIFICATS ......................................................................... 28 3.14 PERIODICITE ET PROCEDURE DE MISE A JOUR DES CERTIFICATS ET DES LNCA ........................................ 29 3.15 POLITIQUE DE CONFIDENTIALITÉ ............................................................................................................. 29 3.16 TRAITEMENT DES PLAINTES ..................................................................................................................... 29 3.17 CESSATION DES ACTIVITÉS ...................................................................................................................... 29 3.18 ADMINISTRATION DE L’ÉNONCÉ DE POLITIQUE DU PSC .......................................................................... 29

3.18.1 Publication de l’énoncé de politique du PSC ................................................................................. 29 3.18.2 Procédure de modification de l’énoncé de politique du PSC et approbation ................................. 30 3.18.3 Garanties ........................................................................................................................................ 30 3.18.4 Sanctions ......................................................................................................................................... 30 3.18.5 Disposition finale ............................................................................................................................ 30

de 30

1. Introduction

1.1 Mise en contexte Les conditions de mise en œuvre de la deuxième phase du projet expérimental du Dossier de santé du Québec (conditions de mise en œuvre), par le ministre de la Santé et des Services sociaux (ministre), introduisent la mise en place de services de certification permettant notamment de délivrer des certificats d’authentification de personne et d’objet. La Régie de l’assurance maladie du Québec (Régie) est identifiée, à l’article 52 des conditions de mise en œuvre, comme prestataire de services de certification (PSC) pour le projet expérimental et, à ce titre, elle doit publier un énoncé de politique. Ainsi, dans son rôle de PSC, la Régie doit mettre en œuvre une autorité de certification pour le secteur de la santé. Cette autorité de certification émettrice relève d’une autorité de certification racine ayant une portée gouvernementale au Québec.

1.2 Objet Le présent énoncé de politique édicte les règles applicables aux services de certification du secteur de la santé offerts par la Régie à titre de PSC. Il vise notamment à : o permettre à une personne qui veut agir en se fondant sur un certificat de prendre connaissance

des niveaux de confiance rattachés aux services de certification et de répertoire; o indiquer les principales responsabilités et obligations auxquelles sont astreints les intervenants

impliqués dans la prestation des services de certification visés par le présent énoncé de politique.

1.3 Acronymes

AC : Autorité de certification

AVI : Agent de vérification de l’identité

GPA : Gestionnaire des profils d’accès

GRTC : Gestionnaire du registre des titulaires de certificats

LNCA : Liste des numéros des certificats annulés

MSSS : Ministère de la Santé et des Services sociaux

PSC : Prestataire de services de certification

PSR : Prestataire de services de répertoire

RTC : Registre des titulaires de certificats

de 30

1.4 Définitions

1.4.1 Certificat Un certificat est un ensemble de données dont le contenu minimal est défini à l’article 48 de la Loi concernant le cadre juridique des technologies de l’information (L.R.Q. c. C-1.1). Le certificat est signé à l’aide de la clé privée du PSC et sert à établir un ou plusieurs faits, notamment confirmer l’identité d’une personne.

1.4.2 Dispositif Un dispositif est un support matériel qui sert à entreposer un certificat délivré à une personne, lorsque le niveau de confiance du certificat le requiert, et qui doit répondre aux normes concernant les dispositifs cryptographiques utilisés dans le cadre des services de certification du secteur de la santé pendant la phase expérimentale.

1.4.3 Intervenant habilité Sont des intervenants habilités, les personnes identifiées à l’article 12 des conditions de mise en œuvre, détenant un certificat et un profil d’accès.

1.4.4 Identificateur d’objet Il s’agit du numéro inscrit dans le certificat d’un titulaire faisant référence au présent énoncé de politique indiquant de quel type de certificat il s’agit et quelles règles lui sont applicables.

1.4.5 Liste des numéros des certificats annulés (LNCA) La LNCA est un moyen pour confirmer la validité d’un certificat. Cette liste contient donc une référence (le numéro de série du certificat) à un certificat qui est non valide, la date à laquelle cette référence a été inscrite et, le cas échéant, la raison de l’inscription.

1.4.6 Non-intervenant Toute personne qui n’est pas un intervenant habilité au sens de l’article 12 des conditions de mise en œuvre mais qui doit détenir un certificat pour les besoins de ses fonctions dans le cadre du projet expérimental.

1.4.7 Objet Tout système informatique utilisé pour transmettre ou pour recevoir communication de renseignements ou d’informations dans le cadre du projet expérimental.

1.4.8 Personne qui agit en se fondant sur un certificat Toute personne, physique ou morale, qui fait confiance à un certificat ou à une signature associée à un certificat qui lui est présenté et sur la base duquel elle communique ou reçoit communication d’un renseignement ou d’une information dans le cadre du projet expérimental.

de 30

1.4.9 Prestataire de services de certification (PSC) La Régie agit à titre de PSC. Celui-ci est chargé d’administrer et d’opérer des services de certification permettant la délivrance et la gestion des certificats requis pour la mise en œuvre du projet expérimental. Le PSC est ainsi responsable de l’ensemble des aspects administratifs et technologiques associés à la délivrance des clés et des certificats ainsi qu’aux opérations subséquentes reliées à leur cycle de vie, à l’exception de la vérification de l’identité, laquelle relève des agents de vérification de l’identité (AVI).

1.4.10 Prestataire de services de répertoire (PSR) La Régie agit à titre de PSR. Celui-ci est chargé d’offrir des services de répertoire permettant notamment de confirmer la validité d’un certificat conformément aux conditions de mise en œuvre et aux meilleures pratiques.

1.4.11 Profil d’accès Le profil d’accès constitue l’ensemble des privilèges d’accès attribués à un titulaire de certificat.

1.4.12 Registre des intervenants Ce registre permet d’établir l’identification unique des intervenants du secteur de la santé et des services sociaux, y compris les non intervenants à l’égard de qui un certificat est demandé. Il est utilisé notamment pour confirmer l’inscription d’une personne au registre, ainsi que le statut professionnel des intervenants qui doivent obtenir un certificat ou qui en sont déjà titulaires, le cas échéant.

1.4.13 Registre des titulaires de certificats (RTC) Ce registre, constitué en vertu des conditions de mise en œuvre et sous la responsabilité du PSC, sert entre autres à consigner les renseignements préalablement recueillis lors de la vérification de l’identité d’une personne au moment de la délivrance de son certificat, l’historique des activités relatives au cycle de vie du certificat ainsi que le lien entre le responsable d’objet et les objets sous sa responsabilité.

1.4.14 Répertoire des certificats Ce répertoire contient les informations relatives aux certificats délivrés et il sert notamment à produire la LNCA.

1.4.15 Responsable d’objet (RO) Le propriétaire de l’objet ou celui qui en a le contrôle est d’office le RO, à moins qu'il n'autorise spécifiquement une autre personne à agir à ce titre. Le RO a pour tâches d’administrer et de rendre compte d’un objet impliqué dans le Dossier de santé. Il est responsable d’effectuer la demande afin d’obtenir un certificat pour les objets sous sa responsabilité.

1.4.16 SécurSanté Nom donné à l’infrastructure à clé publique dans le secteur de la santé.

1.4.17 Titulaire de certificat Une personne ou un objet ayant un certificat valide.

de 30

2. Dispositions générales

2.1 Rôles et responsabilités

2.1.1 Ministre de la Santé et des Services sociaux Le ministre assure l’encadrement des services de certification et de répertoire requis pour la mise en œuvre du projet expérimental du Dossier de santé du Québec (Dossier de santé), dont les conditions de sa mise en œuvre ont été décrétées par le gouvernement le 23 avril 2008, et celles de sa deuxième phase, le 18 juin 2009. À ce titre, le ministre est notamment responsable : - d’approuver toute entente prise par le PSC ou le PSR avec un tiers concernant la prestation de

services de certification ou de services de répertoire offerts dans le secteur de la santé;

- de nommer les agents de vérification de l’identité conformément à la Directive ministérielle sur les règles et modalités de gestion relatives aux services de certification et aux services de répertoire offerts dans le secteur de la santé pendant la phase expérimentale;

- d’assurer la coordination des actions posées par les différents acteurs impliqués dans la prestation des services de certification et de répertoire;

- de s’assurer que le PSC et le PSR respectent les exigences des conditions de mise en oeuvre, du présent énoncé et de toute autre règle ou modalité de gestion, notamment en ce qui concerne la gestion de la sécurité de l’information.

2.1.2 Prestataire de services de certification (PSC) La Régie agit à titre de PSC. Celui-ci est chargé d’administrer et d’opérer des services de certification permettant la délivrance et la gestion des certificats requis pour la mise en œuvre du projet expérimental. Le PSC est ainsi responsable de l’ensemble des aspects administratifs et technologiques associés à la délivrance des clés et des certificats ainsi qu’aux opérations subséquentes reliées à leur cycle de vie, à l’exception de la vérification de l’identité, laquelle relève des agents de vérification de l’identité (AVI). Le PSC est notamment responsable : - de délivrer et de gérer les certificats conformément aux conditions de mise en oeuvre et aux

meilleures pratiques dans le domaine, notamment en s’assurant que les vérifications nécessaires sont effectuées avant de confirmer les éléments contenus aux certificats;

- de prendre un énoncé de politique en vertu de l’article 52 des conditions de mise en œuvre et de le publier sur le site Internet du ministère de la Santé et des Services sociaux (MSSS);

- de recueillir et de consigner dans un registre, soit le registre des titulaires de certificats (RTC), les renseignements relatifs à ces titulaires, conformément à l’article 62 des conditions de mise en œuvre;

- d’effectuer les vérifications nécessaires pour confirmer l’inscription d’un utilisateur au registre des intervenants;

- d’effectuer les vérifications nécessaires pour confirmer le statut professionnel d’une personne;

- d’inscrire, lors du processus de délivrance d’un certificat, les renseignements nécessaires au

de 30

RTC;

- de corriger, lorsque nécessaire, les renseignements des titulaires consignés au RTC;

- de communiquer ces renseignements dans les limites prévues aux conditions de mise en œuvre;

- de produire et transmettre au PSR l’information sur les certificats annulés;

- de soumettre au ministre, pour approbation, toute entente avec un tiers concernant la prestation de services de certification;

- de voir à l’évolution des services de certification pour répondre aux besoins du secteur de la santé;

- d’assurer l’arrimage avec tous les partenaires impliqués dans la prestation des services de certification;

- de rendre compte de ses activités au ministre par la production d’un rapport de gestion;

- de mettre en œuvre des moyens adéquats et conformes aux conditions de mise en oeuvre et aux meilleures pratiques pour assurer la sécurité des clés et des certificats, ainsi que la protection des renseignements consignés au RTC;

- de collaborer aux vérifications demandées par le sous-ministre adjoint aux technologies de l’information au MSSS, ainsi qu’à l’évaluation du projet expérimental prévue à l’article 120 des conditions de mise en oeuvre, conformément à l’article 3 de ces conditions.

2.1.3 Prestataire de services de répertoire (PSR) La Régie agit à titre de PSR. Celui-ci est chargé d’offrir des services de répertoire permettant de confirmer la validité d’un certificat conformément aux exigences prévues aux conditions de mise en œuvre et aux meilleures pratiques.

Le PSR est notamment responsable : - d’inscrire au répertoire les numéros des certificats annulés, le nom de tout PSC dûment

désigné, ainsi que tout autre renseignement prévu dans son énoncé de politique pris en vertu de l’article 64 des conditions de mise en œuvre;

- de publier son énoncé de politique sur le site Internet du MSSS ;

- de mettre en œuvre des moyens adéquats et conformes aux meilleures pratiques pour assurer la sécurité des services de répertoire;

- d’assurer la conservation des listes de numéros des certificats annulés et des renseignements qui y sont associés;

- d’offrir un service de vérification de certains éléments relatifs aux certificats;

- de soumettre au ministre, pour approbation, toute entente avec un tiers concernant la prestation de services de répertoire;

- de collaborer aux vérifications demandées par le sous-ministre adjoint aux technologies de l’information au MSSS, ainsi qu’à l’évaluation du projet expérimental prévue à l’article 120 des conditions de mise en oeuvre, conformément à l’article 3 de ces conditions;

- de voir à l’évolution des services de répertoire pour répondre aux besoins du secteur de la santé;

- d’assurer l’arrimage avec tous les partenaires impliqués dans la prestation des services de répertoire;

- de rendre compte de ses activités au ministre par la production d’un rapport de gestion.

de 30

2.1.4 Gestionnaire des profils d’accès (GPA) Un GPA effectue les demandes de services en vue de délivrer un certificat pour une personne à son emploi ou sous sa direction et, le cas échéant, dans le cas d’une personne membre d’un ordre professionnel qui a un statut de travailleur autonome et qui exerce sa profession dans un centre exploité par un établissement, un groupe de médecine de famille, un cabinet privé de professionnel ou un centre médical spécialisé où agit ce gestionnaire, s’il est autorisé à cette fin par cette personne.

Plus spécifiquement, le GPA est responsable : - des autorisations d’obtention et d’utilisation des certificats pour les personnes qui sont à son

emploi ou sous sa direction;

- de s’assurer que le profil d’accès attribué à une personne à son emploi ou sous sa direction ou, s’il y a lieu, à une personne membre d’un ordre professionnel qui a un statut de travailleur autonome et qui exerce sa profession dans un centre exploité par un établissement, un groupe de médecine de famille, un cabinet privé de professionnel ou un centre médical spécialisé où agit ce gestionnaire, s’il est autorisé à cette fin par cette personne, correspond au profil d’accès auquel cette personne a droit en vertu des conditions de mise en œuvre et qui est nécessaire à l’exercice de ses fonctions.

2.1.5 Agent de vérification de l’identité (AVI) L’AVI est chargé de vérifier l’identité de la personne à l’égard de qui un certificat est demandé.

L’AVI doit obtenir du PSC la confirmation que la personne est inscrite au registre des intervenants.

L’AVI doit également obtenir du PSC la confirmation du statut professionnel d’une personne, lorsque applicable.

Plus spécifiquement, l’AVI est responsable, entre autres : - d’effectuer les vérifications dans des locaux sécurisés1 conformément aux normes de sécurité

physique établies par le ministre et confirmer au PSC les vérifications qu’il effectue;

- de juger de la qualité des documents qui lui sont présentés. En cas de doute sur la validité ou l’authenticité des documents présentés, il doit les refuser;

- de faire signer le formulaire d’engagement approprié;

- de remettre, lors d’une vérification de l’identité concluante, le certificat déposé sur un dispositif au titulaire, lorsque le niveau de confiance le requiert ;

- de s’assurer que le certificat émis est propre au titulaire et aux clés cryptographiques générées sur un dispositif, le cas échéant, dans ses locaux sécurisés selon la procédure formelle ;

- de déclarer au PSC toute tentative d’usurpation d’identité dont il est témoin dans le cadre de ses fonctions;

- d’inscrire, lors de la délivrance d’un certificat, les renseignements nécessaires au répertoire des certificats et au gestionnaire du registre des titulaires de certificats (GRTC);

- de la sécurité de l’accès aux dispositifs vierges et de leur utilisation.

1 En conformité avec les critères du document nommé: Critères de sécurité physique concernant l’Agent de vérification de l’identité (AVI) des services de certification de la santé pendant la phase expérimentale.

de 30

2.1.6 Responsable d’objet (RO)

Les responsabilités du RO sont, entre autres, les suivantes :

- d’obtenir un certificat de SécurSanté avant de faire une demande de certificat pour un objet

sous sa responsabilité;

- d’effectuer la demande d’émission de certificat pour l’objet dont il est responsable, en précisant quel profil d’accès doit être attribué à l’objet;

- de confirmer au PSC :

• l’existence de l’objet;

• l’usage permis de l’objet (il le fait en déterminant le type d’objet);

• la localisation de l’objet;

• l’existence et l’identité du propriétaire de l’objet ou de celui qui en a le contrôle.

- de générer les clés cryptographiques sur l’objet et de transmettre au PSC l’information requise pour permettre la création du certificat de cet objet;

- de recevoir le certificat attribué à l’objet et voir à son installation sur l’objet en question;

- de voir à ce que les mesures de sécurité adéquates soient prises pour protéger le certificat sur l’objet. Ainsi, il doit prendre les mesures nécessaires pour assurer la confidentialité et la sécurité de la clé privée associée au certificat de l’objet;

- de procéder au renouvellement du certificat de l’objet sous sa responsabilité, avant son échéance;

- de soumettre, lorsque requis, une demande d’annulation du certificat d‘objet sous sa responsabilité.

2.1.7 Titulaire de certificat Le titulaire d’un certificat utilise son dispositif pour accéder, lorsque requis et selon son profil d’accès, aux actifs informationnels du réseau de la santé ou de la Régie ou pour accomplir une fonction de gestion, de maintenance ou de support technique auprès des intervenants habilités au sens de l’article 12 des conditions de mise en œuvre, ou encore pour réaliser un mandat de pilotage, d’exploitation ou de surveillance à l’égard des différentes fonctionnalités mises en place dans le cadre du projet expérimental confié par le sous-ministre adjoint aux technologies de l’information au MSSS. Plus spécifiquement, le titulaire est responsable, entre autres, : - de fournir à l’AVI les renseignements nécessaires pour permettre la délivrance d’un certificat et

de signer le formulaire d’engagement approprié;

- d’assurer la confidentialité et la sécurité de sa clé privée et ne permettre à quiconque de les utiliser, et, le cas échéant, prendre les moyens nécessaires pour que son dispositif demeure en tout temps sous son contrôle ;

- de préserver la confidentialité du mot de passe permettant de s’authentifier ou, le cas échéant, de déverrouiller son dispositif;

- de signaler immédiatement la perte ou le vol de son dispositif;

- de respecter toute autre condition d’utilisation émise par le PSC et portée à sa connaissance.

de 30

2.1.8 Personne qui agit en se fondant sur un certificat

Celui qui veut agir en se fondant sur un certificat doit vérifier :

1° l’intégrité du certificat ;

2° que sa période de validité n’est pas expirée ;

3° qu’il n’est pas suspendu ou annulé.

De plus, lorsque le certificat est utilisé pour accéder au Dossier de santé ou à un système d’information de l’un des domaines mis en place par les conditions de mise en œuvre, ou encore, à tout autre actif informationnel qui requiert l’utilisation d’un certificat, celui qui agit en se fondant sur le certificat doit s’assurer que la vérification à l’effet que le certificat n’est pas suspendu ou annulé est effectuée auprès du prestataire de services de répertoire, que le certificat a été délivré par la Régie, à titre de prestataire de services de certification dans le secteur de la santé et qu’il correspond au niveau de confiance requis.

2.2 L’utilisation des certificats

2.2.1 Usage approprié des certificats Les certificats délivrés par le PSC ne peuvent servir qu’aux fins prévues par les conditions de mise en œuvre et de la présente politique.

Ils sont utilisés pour permettre :

- l’accès aux actifs informationnels du réseau de la santé ou de la Régie, par exemple, aux intervenants habilités d’accéder au Dossier de santé d’une personne;

- l’accomplissement d’une fonction de gestion, de maintenance ou encore de support technique auprès des intervenants habilités au sens de l’article 12 des conditions de mise en œuvre;

- La réalisation d’un mandat de pilotage, d’exploitation ou de surveillance à l’égard des différentes fonctionnalités mises en place dans le cadre du projet expérimental confié par le sous-ministre adjoint aux technologies de l’information au MSSS.

Les deux tableaux ci-dessous démontrent, pour chaque type de certificat que le PSC peut délivrer, les utilisations permises et l’identificateur d’objet qui lui est attribué.

Tous les certificats délivrés en vertu du présent énoncé de politique doivent indiquer au moins un identificateur d’objet correspondant à son type.

Chaque certificat comporte une clé publique à laquelle est associée une clé privée (externe au certificat). De plus, un gabarit spécifique (modèle ou type de certificat) est associé à chaque certificat afin d’indiquer les stratégies d’application qui lui sont applicables (notamment authentification et chiffrement), lesquelles réfèrent aux identificateurs d’objet mentionnés ci-dessous.

de 30

Tableau 1 – Certificats affectés à des personnes physiques

Identificateur d’objet : 2.16.124.10.101.8.5.4.1.1

Modèle ou type de certificat Utilisation permise Acteurs visés 1. Certificat d’authentification - Signature électronique

- Authentification du titulaire Titulaire, incluant les GPA

2. Certificat d’authentification et requête de certificats

- Signature électronique - Authentification du titulaire - Requêtes d’émission de certificats

AVI

3. Certificat d’authentification et d’accès à l’infrastructure

- Signature électronique - Authentification du titulaire - Ouverture de session Windows (login)

Agent du PSC et exploitant

4. Certificat de recouvrement de clé

- Signature électronique - Chiffrement de la clé - Agent de récupération - Ouverture de session Windows (login)

Agent du PSC

Tableau 2 – Certificats affectés à des objets

Identificateur d’objet : 2.16.124.10.101.8.5.4.1.2

Modèle ou type de certificat Utilisation permise Acteurs visés a) Certificat d’authentification –

Objet SSL - Signature électronique - Chiffrement de la clé - Authentification du serveur - Authentification du client

Objet SSL

b) Certificat d’authentification – Objet IPSEC

- Signature électronique - Chiffrement de la clé - Sécurité IP IKE intermédiaire

Objet IPSEC

c) Certificat d’horodatage - Signature électronique -Enregistrement des informations de date

Objet

2.2.2 Restrictions et limites d’utilisation d’un certificat Les certificats ne peuvent être utilisés à l’extérieur du secteur de la santé.

de 30

3. Description des services de certification

3.1 Procédures relatives à la vérification de l’identité

3.1.1 Identification et vérification de l’identité lors de la délivrance d’un certificat La vérification de l’identité (voir les responsabilités de l’AVI à la section 2.1.5) doit se faire en personne dans les locaux sécurisés de l’AVI2 et nécessite la présentation d’au moins deux documents émanant d’une autorité gouvernementale reconnue qui confirment l’identité de la personne, dont l’un doit comporter sa photographie. Si l’AVI a un doute sur la qualité des documents qui lui sont présentés, sur leur validité ou leur authenticité, il doit les refuser et mettre ainsi fin au service demandé. De plus, il doit signaler un incident de sécurité au PSC.

L’AVI doit obtenir du PSC la confirmation que la personne est inscrite au registre des intervenants.

L’AVI doit également obtenir du PSC la confirmation du statut professionnel d’une personne, lorsque applicable.

Pour assurer la prestation de services de certification, les renseignements recueillis sont consignés et maintenus dans le RTC. Ces renseignements peuvent être notamment recueillis auprès de la personne qui requiert un certificat et du GPA. Ces derniers doivent informer le PSC de tout changement affectant les renseignements qu’ils ont fournis.

3.1.1.1 Pour les intervenants habilités et les non-intervenants La vérification de l’identité doit se faire selon les modalités établies à la section 3.1.1.

3.1.1.2 Pour les objets Seule une personne qui détient un certificat à titre de responsable d’objet peut faire une demande de délivrance d’un certificat pour l’objet dont il est responsable. L’AVI aura préalablement effectué la vérification de l’identité du responsable d’objet, selon les modalités établies à la section 3.1.1

Le PSC doit vérifier les éléments suivants, selon un processus formel:

- que le responsable d’objet est le propriétaire de l’objet ou celui qui en a le contrôle, ou qu’il a été dûment autorisé à agir à ce titre;

- l’existence et l’identifiant de l’objet;

- l’usage autorisé de l’objet, le cas échéant;

- la localisation de l’objet, le cas échéant;

- l’existence et l’identité ou l’identification du propriétaire de l’objet ou de celui qui en a le contrôle.

3.1.2 Identification et vérification de l’identité au moment de la modification d’un certificat La modification d’un certificat est la résultante de la mise à jour des renseignements concernant un titulaire de certificat, engendrant une réémission de son certificat.

2 Idem

de 30

Les renseignements admissibles à être modifiés sur le certificat sont les suivants : - Les noms et le prénom du titulaire - Le profil d’accès (catégorie d’intervenants)

3.1.2.1 Pour les intervenants habilités et les non-intervenants Pour procéder à la modification d’un certificat, la vérification de l’identité doit se faire selon ce qui est établi à la section 3.1.1.

3.1.2.2 Pour les objets Pour apporter des modifications à un certificat attribué à un objet, le certificat doit être annulé et un nouveau doit être délivré. À cet effet, les sections traitant de la délivrance et de l’annulation d’un certificat pour un objet sont applicables.

3.1.3 Identification et vérification de l’identité au moment de l’annulation d’un certificat L’annulation d’un certificat consiste à rendre un certificat inactif, donc inutilisable de manière permanente. Cette opération peut être effectuée par le PSC.

Lorsque le PSC est avisé d’un changement qui pourrait affecter l’état d’un certificat3 par le GPA, la Régie ou par le titulaire lui-même, il a le pouvoir de prendre la décision de l’annuler si les circonstances le justifient. Certaines situations pourraient toutefois exiger des vérifications avant de procéder à l'annulation du certificat.

L’annulation d’un certificat ne requiert aucune vérification de l’identité du titulaire.

3.1.3.1 Pour les intervenants habilités et les non-intervenants L’annulation du certificat ne requiert aucune vérification de l’identité du titulaire.

3.1.3.2 Pour les objets L’annulation d’un certificat pour un objet ne requiert pas de vérification de l’identité. Seul le PSC peut exécuter cette opération et l’authentification à l’aide de son dispositif constitue une vérification de l’identité suffisante pour procéder.

3.2 Procédures opérationnelles relatives à la gestion des certificats Les requêtes ou demandes de services au PSC sont soit sous forme de formulaire transmis par courriel, soit simplement sous forme de courriel dans certains cas. Elles doivent être accompagnées du certificat de la personne qui requiert les services. Celles-ci sont conservées par le PSC.

Le PSC communique avec la personne qui requiert les services et celle concernée par les services, si nécessaire, au moyen d’un courriel.

3 Par exemple, la radiation temporaire d’un professionnel ou l’usage non autorisé de son dispositif.

de 30

3.2.1 Délivrance d’un certificat Un certificat est délivré par le PSC : - sur demande d’une personne autorisée (voir 3.2.1.1);

- sur demande du RO, lorsqu’il s’agit d’un certificat attribué à un objet sous sa responsabilité;

- suite à une vérification de l’identité en personne par un AVI, dans ses locaux sécurisés. Lorsque l’identité de l’utilisateur est établie, le certificat est associé à des clés cryptographiques et est inscrit sur un dispositif, lorsque le niveau de confiance le requiert;

- suite à la vérification du statut professionnel, lorsque l’obtention du profil requiert l’appartenance à un ordre professionnel;

- suite à la corroboration des informations d’identité reçues.

3.2.1.1 Personnes pouvant demander la délivrance Les personnes pouvant demander la délivrance d’un certificat sont : - un GPA, pour les personnes à son emploi ou sous sa direction ;

- la personne elle-même :

• dans le cas des personnes membres d’un ordre professionnel qui ont un statut de travailleur autonome;

• dans le cas des personnes qui agissent à titre de GPA, d’AVI ou de RO;

• dans le cas des personnes qui assument des fonctions relatives aux services de certification.

Toutefois, un GPA peut demander la délivrance d’un certificat au nom d’une personne membre d’un ordre professionnel qui a un statut de travailleur autonome et qui exerce sa profession dans un centre exploité par un établissement, un groupe de médecine de famille, un cabinet privé de professionnel ou un centre médical spécialisé où agit ce gestionnaire, s’il est autorisé à cette fin par cette personne.

3.2.1.2 Procédure de délivrance Pour une personne :

Le GPA soumet au PSC les demandes de délivrance de certificats pour les personnes à son emploi ou sous sa direction et, le cas échéant, pour une personne membre d’un ordre professionnel qui a un statut de travailleur autonome et qui exerce sa profession dans un centre exploité par un établissement, un groupe de médecine de famille, un cabinet privé de professionnel ou un centre médical spécialisé où agit ce gestionnaire, s’il est autorisé à cette fin par cette personne, et confirme le profil d’accès à leur attribuer. Dans le cas des personnes qui peuvent elles-mêmes demander un certificat, celles-ci soumettent leur demande de délivrance au PSC.

Le PSC vérifie, lorsque applicable, le statut professionnel de la personne au registre des intervenants, si le professionnel y est inscrit. Si le statut professionnel n’est pas confirmé, le PSC met fin au traitement en refusant, dans le RTC, qu’un certificat soit émis à cette personne. Lorsque le statut professionnel est confirmé, le PSC inscrit la personne visée au RTC et il autorise, dans ce même registre, qu’un certificat soit émis, ce qui permet à l’AVI de voir l’occurrence de cette demande. Le PSC avise ensuite l’AVI qu’il peut prendre rendez-vous avec la personne visée par la demande de délivrance pour vérifier l’identité de celle-ci, conformément à ce qui est prévu à la section 3.1.1.

de 30

Lors de la rencontre avec l’AVI, une fois la vérification de l’identité complétée, l’AVI émet le certificat au titulaire. Les clés cryptographiques requises pour l’émission du certificat du titulaire sont générées sur un dispositif, lorsque le niveau de confiance le requiert. Le titulaire saisit alors son mot de passe qui est conservé sur le dispositif. Le numéro de série du dispositif est enregistré dans le RTC.

Pour un objet :

Le RO, lui-même titulaire d’un certificat, soumet au PSC une demande de délivrance de certificat pour l’objet sous sa responsabilité, par courriel auquel est joint son certificat. La demande est accompagnée de la requête PKCS#10 effectuée sur l'objet, requête qui génère les clés cryptographiques nécessaires à l'émission du certificat objet. Le PSC inscrit l’objet visé au RTC avec le profil d’accès demandé. Le PSC délivre le certificat d’objet en utilisant les clés cryptographiques reçues et l’achemine au RO afin qu’il soit installé sur l’objet.

3.2.1.3 Délai de traitement d’une demande de délivrance Pour délivrer un certificat à un intervenant habilité ou à un non-intervenant, la requête doit passer par le PSC et nécessite une rencontre en personne avec un AVI. Le PSC et l’AVI doivent agir dans des délais raisonnables.

Pour un objet, le RO soumet la demande qui sera traitée par le PSC, ce dernier procédera alors à la délivrance du certificat et le transmettra au RO pour son installation sur l’objet.

3.2.2 Mise à jour des renseignements contenus au certificat

3.2.2.1 Personne pouvant demander la mise à jour des renseignements contenus au certificat

La demande de mise à jour des renseignements contenus au certificat peut être faite par le GPA au PSC, ou initiée d’office par le PSC.

3.2.2.2 Traitement d’une demande de mise à jour Le demande de mise à jour est prise en charge par le PSC, qui doit notamment :

- valider l’admissibilité de la demande;

- confirmer le changement auprès du registre des intervenants, si le changement porte sur la catégorie principale;

- annuler le certificat;

- modifier les renseignements dans le RTC;

- autoriser l’émission du nouveau certificat.

L’AVI doit :

- procéder à la vérification de l’identité du titulaire de certificat, conformément à ce qui est prévu à la section 3.1.1;

- s’assurer que l’identité présentée correspond aux données inscrites dans le RTC;

- procéder à la délivrance du certificat.

de 30

Le RTC et la LNCA sont mis à jour.

3.2.2.3 Délai de traitement d’une demande de mise à jour La demande est prise en charge dès sa réception par le PSC.

3.2.3 Annulation d’un certificat à la demande d’un tiers

3.2.3.1 Personne pouvant informer le PSC Le PSC peut procéder à une enquête afin de déterminer si le certificat d’un titulaire doit être annulé. Les personnes pouvant s’adresser au PSC pour faire une telle requête sont :

- les personnes responsables des AVI et celles responsables des GPA; - le GPA, pour les personnes à son emploi ou sous sa direction; - la Régie, pour les personnes inscrites au RTC; - l’ordre professionnel, pour ses membres; - le RO, pour le ou les objets sous sa responsabilité; - l’AVI, lors d’une déclaration d’un incident de sécurité.

Les circonstances pouvant entraîner une enquête du PSC sont notamment :

- des doutes quant à une usurpation d'identité; - la perte ou le vol d’un dispositif; - le non respect par un titulaire d’un certificat des conditions d’utilisation relatives à

l’usage de son certificat; - la non inscription au tableau de l’Ordre, pour un certificat attribué à une personne à

titre de membre d’un ordre professionnel; - une décision prise à son initiative.

3.2.3.2 Traitement d’une demande d’annulation par un tiers Seul le PSC traite les demandes d’annulation de certificat faites par un tiers. Une demande d’annulation par un tiers doit être transmise par courriel au PSC et est traitée comme suit :

- le PSC doit s’assurer que la demande provient d’une personne autorisée à demander ce service et que la demande d’annulation est justifiée;

- il doit vérifier, le cas échéant, le statut professionnel du titulaire concerné; - le PSC avise des résultats de la demande la personne qui l’a initiée et celle visée

par cette demande; - la LNCA et le RTC sont mis à jour. Le motif qui a conduit à l’annulation n’est pas

publié, il est seulement consigné au RTC.

3.2.3.3 Délai de traitement d’une demande d’annulation par un tiers Une fois son enquête ou ses vérifications terminées et s’il décide d’annuler le certificat, le PSC doit procéder immédiatement à l’annulation du certificat dans le système.

3.2.4 Registre des titulaires de certificats (RTC) Le RTC est sous la responsabilité du PSC. Il s’agit d’un dépôt de données dans lequel sont consignés les renseignements concernant les personnes à l’égard desquelles un certificat est demandé.

de 30

3.2.4.1 Contenu du RTC

Le RTC comprend, outre les renseignements concernant les personnes à l’égard desquelles un certificat est demandé, l’historique des actions effectuées sur un certificat, l’information nécessaire pour assurer l’imputabilité des actions posées (par exemple, quel agent du PSC a effectué telle action, à quelle date et pour quelle raison) ainsi que le lien entre le RO et les objets sous sa responsabilité.

3.2.4.2 Caractéristiques des données inscrites au RTC Les renseignements consignés au RTC ne peuvent être utilisés que pour les fins de l’exercice des fonctions du prestataire de services de certification. Sur demande du ministre, le PSC l’informe du fait qu’une personne n’est pas ou n’est plus titulaire d’un certificat et, le cas échéant, de la date à laquelle elle a pris connaissance du motif qui a conduit à la suspension ou à l’annulation de ce certificat, ainsi que de la date à laquelle elle a suspendu ou annulé ce certificat.

3.2.4.3 Accès aux données du RTC

Seuls les agents du PSC peuvent consulter l’ensemble des renseignements contenus au RTC pour fins de vérification. Cependant, dans le cadre de leurs fonctions d’AVI, ceux-ci peuvent consulter une partie des renseignements contenus au RTC, selon leurs droits d’accès.

3.2.4.4 Mise à jour du RTC

La mise à jour du RTC s’effectue en temps réel.

3.3 Procédures relatives à la gestion des dispositifs Seul le PSC dispose des outils nécessaires pour initialiser ou réinitialiser un dispositif.

3.3.1 Rôle et responsabilités du propriétaire du dispositif La personne qui détient le dispositif est le titulaire de certificat. Elle est appelée « propriétaire du dispositif ». À cet effet, son rôle et ses responsabilités sont celles énumérées au paragraphe 2.1.7.

3.3.2 Remplacer un dispositif

3.3.2.1 Circonstances pouvant entraîner le remplacement d’un dispositif Lorsqu’un dispositif est défectueux, abîmé, perdu, volé, verrouillé par le titulaire ou qu’il est devenu inutilisable, une demande de remplacement doit être soumise au PSC selon la procédure indiquée au paragraphe 3.2. L’AVI procède ensuite au remplacement du dispositif, ainsi qu’au certificat qui y est rattaché.

de 30

3.3.2.2 Traitement d’une demande de remplacement d’un dispositif Une demande de remplacement d’un dispositif est traitée comme suit :

- le PSC doit annuler le certificat et aviser l’AVI qu’il peut prendre rendez-vous avec le titulaire;

- le titulaire doit se présenter devant l’AVI afin de faire vérifier son identité; - l'AVI demande au système de délivrer un nouveau certificat pour le titulaire et de

l’associer au nouveau dispositif remis; - l’AVI s’assure que le nouveau dispositif remis au titulaire fonctionne adéquatement; - l’AVI récupère l’ancien dispositif, lorsqu'il n'est pas perdu ou volé, et l'envoie au PSC

afin qu'il procède à sa réinitialisation pour le remettre en circulation.

3.3.2.3 Délai de traitement d’une demande de remplacement d’un dispositif La demande de remplacement d’un dispositif est prise en charge dès sa réception par l’AVI, qui prend rendez-vous avec le propriétaire dans les meilleurs délais.

3.4 Mesures et contrôles de sécurité physiques et administratives

3.4.1 Mesures de sécurité physiques4

3.4.1.1 Pour le centre de gestion des clés et des certificats Le PSC est responsable de s’assurer que l’endroit où sont hébergés les serveurs contenant les applications nécessaires pour assurer la gestion des certificats, notamment l’AC racine, les AC subordonnées émettrices, le répertoire des certificats et le RTC, sont localisés dans une zone de sécurité conforme aux normes minimales et respectent les exigences suivantes :

• les murs de la zone de sécurité doivent être renforcés allant du vrai plancher au vrai plafond ou au plafond suspendu avec système de détection d’intrusion par le plafond suspendu;

• la porte de la zone de sécurité doit être munie d’un verrou de sécurité;

• l’accès à la zone de sécurité ne doit être possible qu’à partir d’une autre zone à accès contrôlé et non depuis une zone à accès public;

• la zone de sécurité doit être pourvue d’un système de surveillance ou, lorsque la surveillance n’est pas possible, d’un système de détection d’intrusion actif en l’absence d’une personne autorisée;

• la zone de sécurité doit être pourvue d’un panneau d’identification limitant l’accès au personnel autorisé seulement, affiché en évidence près des portes d’accès;

• la zone de sécurité doit être branchée à un bloc ou à une source d’alimentation sans coupure qui assure une alimentation électrique continue conforme aux niveaux de services offerts aux détenteurs de certificat. Cette source d’alimentation doit être conforme aux normes reconnues de protection contre le feu;

4 Pour le RTC et le GRTC, les exigences relatives aux locaux par rapport aux mesures et contrôles de sécurité sont celles énoncées dans l’annexe 1 de l’Énoncé de politique du prestataire de services de répertoire du secteur de la santé pendant la phase expérimentale.

de 30

• la zone de sécurité doit être munie d’un système de climatisation pour la régulation de la température et de l’humidité. Ce système de climatisation doit être conforme aux normes reconnues de protection contre le feu;

• la zone de sécurité doit être pourvue d’une procédure documentée de destruction des documents confidentiels et des supports contenant de tels documents;

• la zone de sécurité doit être pourvue d’une procédure documentée concernant la gestion des personnes habilitées et de contrôle des accès de ces individus;

• l’utilisation de deux serrures indépendantes à clés spécifiques par porte sur le cabinet;

• la mise en place d’un processus de gestion des clés permettant de respecter le principe selon lequel deux personnes indépendantes doivent toujours être présentes lorsque des activités se tiennent sur les composantes du cabinet;

• la mise en place d’un journal pour enregistrer chaque fois que le cabinet est ouvert et la raison pour laquelle il est ouvert;

• la mise en place d’une caméra dédiée qui permet de filmer en tout temps les activités qui peuvent se tenir sur les composantes du cabinet.

De plus, les mesures nécessaires doivent être en place afin de :

• s’assurer que l’accès sur place ou à distance au centre de gestion des certificats est limité aux seules personnes autorisées par lui;

• s’assurer que toute personne qui n’est pas un employé autorisé du PSC et qui doit avoir accès aux serveurs du centre de gestion des certificats soit accompagnée et surveillée par une personne autorisée;

• s’assurer qu’un journal des accès au site d’hébergement et aux applications du centre de gestion des certificats est tenu à jour et vérifié périodiquement;

• s’assurer que tous les supports amovibles et documents sur support papier contenant de l’information confidentielle en clair soient entreposés de manière à ce que seules les personnes autorisées y aient accès;

• établir des procédures de conservation, de transfert et de destruction des renseignements confidentiels sur supports magnétique et papier;

• mettre le serveur de l’AC racine hors ligne une fois ses clés cryptographiques générées;

• entreposer le serveur de l’AC racine dans un endroit sécuritaire à accès restreint et contrôlé.

3.4.1.2 Pour les Autorités de certification (AC) En ce qui concerne l'AC racine, cette infrastructure est indépendante de tout branchement réseau.

Les serveurs des AC subordonnées émettrices doivent être branchées au réseau et être disponibles. Ils doivent être entreposés dans un espace sécurisé dont l’accès est contrôlé selon les modalités de 3.4.1.1.

3.4.1.3 Pour les AVI L’AVI doit prendre toutes les mesures nécessaires pour protéger les renseignements confidentiels recueillis lors de la vérification de l’identité.

L’AVI doit empêcher l’accès au poste de travail utilisé pour la prestation des services de certification. Son poste de travail doit respecter les caractéristiques de configuration émises par le

de 30

ministre ou par le PSC.

L’AVI doit exercer ses fonctions dans des locaux sécurisés, tel que prescrit par le document Critères de sécurité physique concernant l’Agent de vérification de l’identité (AVI) des services de certification de la santé pendant la phase expérimentale.

3.4.1.4 Pour les GPA Le GPA doit prendre toutes les mesures nécessaires pour protéger les renseignements confidentiels recueillis lorsqu’il complète une demande de services pour les personnes qui sont à son emploi ou sous sa direction et, le cas échéant, pour une personne membre d’un ordre professionnel qui a un statut de travailleur autonome et qui exerce sa profession dans un centre exploité par un établissement, un groupe de médecine de famille, un cabinet privé de professionnel ou un centre médical spécialisé où agit ce gestionnaire, s’il est autorisé à cette fin par cette personne. Son poste de travail doit respecter les caractéristiques de configuration émises par l’infrastructure de la Couche d’accès à l’information de santé (CAIS).

3.4.1.5 Pour les titulaires de certificats Le titulaire de certificat doit conserver sa clé privée sur un dispositif, lorsque le niveau de confiance le requiert, lequel doit demeurer en tout temps sous son contrôle.

Le titulaire de certificat doit prendre les mesures nécessaires afin d’assurer la sécurité et la confidentialité de sa clé privée et de son mot de passe.

À cette fin, il doit s’assurer de terminer sa session, et de retirer du poste de travail son dispositif, le cas échéant, lorsqu’il a terminé ses opérations.

Un RO doit, de plus, s’assurer que l’accès aux objets sous sa responsabilité et sur lesquels un certificat est installé sont protégés conformément aux meilleures pratiques.

3.4.1.6 Conservation et destruction des supports physiques Tous les supports servant au stockage de l’information doivent être soit effacés de manière à ce que les informations ne puissent y être récupérées, soit détruits de façon permanente avant d’être mis au rebut.

3.4.2 Mesures de sécurité administratives Toute personne qui accède au centre de gestion de clés et de certificats par l’intermédiaire de réseaux partagés doit s’authentifier au système à l’aide d’un dispositif contenant un certificat valide.

3.4.2.1 Pour le PSC et son personnel Le PSC doit s’assurer que la séparation des tâches est respectée. Il doit de plus, afin de maintenir la sécurité et l’intégrité des services de certification, s’assurer que les fonctions liées à des tâches critiques soient réparties entre plus d’un de ses agents. Un agent du PSC ne peut occuper en même temps les fonctions d’AVI ou de GPA, ou des fonctions associées au PSR.

3.4.2.1.1 Séparation des tâches

Au moins deux agents du PSC doivent collaborer pour effectuer les tâches suivantes :

a) déterminer et modifier la période de validité des clés; b) gérer les identificateurs d’objet;

de 30

c) déterminer et modifier la période de validité de la LNCA; d) faire toute opération relative à l’attribution de droits et de privilèges des agents du PSC; e) mettre à jour la clé privée de signature de l’AC racine ou d’une AC subordonnée émettrice.

3.4.2.1.2 Agent du PSC

Les personnes impliquées dans la gestion des certificats doivent :

a) avoir reçu la formation nécessaire pour accomplir leurs tâches; b) n’effectuer aucune tâche qui risque de les placer en situation de conflit d’intérêts avec les

responsabilités qui leur incombent dans le cadre de leurs fonctions; c) ne pas occuper les fonctions d’AVI ou de GPA , ou des fonctions associées au PSR.

3.4.2.1.3 Conservation et archivage des dossiers

Tous les documents ou dossiers relatifs à un titulaire de certificat doivent être conservés par le PSC pour une durée de dix ans.

3.4.2.1.4 Sanctions

Lorsque le PSC a des motifs raisonnables de douter de la fiabilité ou de la compétence d’un de ses agents, il doit immédiatement prendre les moyens nécessaires pour lui interdire tout accès au centre de gestion des certificats.

3.4.2.2 Pour les AVI L’AVI doit, en conformité avec la section 4.3 de la Directive ministérielle sur les règles et les modalités de gestion relatives aux services de certification et aux services de répertoire offerts dans le secteur de la santé pendant la phase expérimentale:

a) avoir reçu la formation prescrite pour accomplir ses tâches et signer l’engagement; b) n’effectuer aucune tâche qui risque de les placer en situation de conflit d’intérêts avec les

responsabilités qui leur incombent dans le cadre de leurs fonctions; c) ne pas occuper des fonctions associées au PSC, ou de GPA..

3.4.2.3 Pour les GPA Le GPA doit :

a) avoir reçu la formation prescrite pour accomplir ses tâches; b) n’effectuer aucune tâche qui risque de les placer en situation de conflit d’intérêts avec les

responsabilités qui leur incombent dans le cadre de leurs fonctions; c) ne pas occuper des fonctions associées au PSC, ou d’AVI.

3.4.3 Compromission, corruption, désastre et reprise après sinistre Le PSC doit établir des procédures visant à assurer le maintien de ses activités. Il doit de plus prévoir et décrire les mesures à prendre en cas de corruption ou de pertes de ressources informatiques, de logiciels et de données.

de 30

3.4.3.1 Compromission de la clé de l’autorité de certification (AC) Lorsque la confidentialité de la clé privée de signature de l’AC racine ou des AC subordonnées émettrices est compromise, le PSC doit :

• aviser le ministre ; • prendre les moyens nécessaires pour mettre en place une nouvelle AC et procéder au

remplacement de tous les certificats émis sous l’ancienne AC ; • effectuer la procédure prévue pour annuler le certificat compromis ; • identifier la cause de cette compromission et corriger les facteurs qui en sont à l’origine ; • faire rapport de cette compromission, documenter les changements apportés et

consigner le tout.

3.4.3.2 Compromission de la clé d’un AVI ou d’un GPA Lorsque la confidentialité de la clé privée de signature d’un AVI ou d’un GPA est compromise, il doit suivre la procédure d’annulation du certificat et faire le nécessaire pour se procurer d’autres clés et certificats. Les vérifications de l’identité effectuées par l’AVI pendant cette période sont nulles et doivent être reprises par un autre AVI. Les certificats qui auraient été générés suite aux vérifications faites par cet AVI alors que la confidentialité de sa clé privée était compromise doivent être annulés par le PSC. L’AVI dont la clé privée de signature est compromise doit demander que lui soit émis un nouveau certificat, selon la procédure établie.

3.4.3.3 Sinistre ou désastre Le PSC doit prévoir un plan de relève des mesures à prendre pour remettre en opération les services de certification dans un endroit sécuritaire en cas de sinistre majeur ou de catastrophe naturelle. Ce plan doit détailler les moyens mis en place par le PSC pour rétablir le service de gestion des clés et des certificats dans les 48 heures suivant le moment auquel est survenu le sinistre.

3.5 Mesures de sécurité technique

3.5.1 Génération et installation de paires de clés

3.5.1.1 Génération de paires de clés des AC La génération des paires de clés maîtresses des différents niveaux de l’AC s’effectue par l’entremise de services cryptographiques qui répondent aux exigences de FIPS 140-2 niveau 3. L’accès aux équipements et aux services de l’AC, incluant l’accès aux clés privées, s’effectue par l’entremise d’équipements d’authentification spécifiques réservés à cet effet. L’attribution des contrôles d’accès est accordée à plus d’un agent du PSC et les règles établies doivent faire en sorte qu’en aucun temps une personne seule puisse avoir accès aux services de contrôle de l’AC.

de 30

L’infrastructure de production comporte deux AC subordonnées émettrices. Toutes deux sont en ligne de façon permanente et peuvent être utilisées pour émettre des certificats, ce qui permet à la fois le partage des charges et la relève sur panne. Suite à l’émission des certificats des AC subordonnées émettrices sous l’autorité de l’AC racine, cette dernière est mise hors-ligne dans le but de maintenir un niveau élevé de sécurité. Les certificats des AC subordonnées émettrices doivent être signés par l’AC racine.

3.5.1.2 Génération de la clé privée d’un titulaire de certificat Les titulaires de certificat sont les seuls responsables de la génération de leur clé privée utilisée par les requêtes de délivrance de certificat, à moins d’exception expressément mentionnée par le PSC. Cette exception porte particulièrement sur les certificats de chiffrement dont les clés privées sont générées par l’AC subordonnée émettrice.

3.5.1.3 Production de la clé publique du titulaire de certificat auprès de l’AC subordonnée émettrice À moins de faire usage d’une interface dûment approuvée par le PSC, les titulaires de certificat sont personnellement responsables de générer les paires de clés selon les règles de RSA. Les requêtes d’émission de certificats seront effectuées sur la base des informations fournies selon le format PKCS#10 uniquement.

3.5.1.4 Distribution de la clé publique des AC subordonnées émettrices auprès de tiers Seules les techniques de validation de la chaîne de certification permettent à des tiers d’obtenir les copies des clés publiques des AC subordonnées émettrices. Il en est de même pour l’obtention de la clé publique de l’AC racine. Aucun autre mode de distribution n’est prévu.

3.5.1.5 Longueur des clés La longueur des clés des AC répond aux caractéristiques suivantes :

• les clés de l’AC racine correspondent à RSA 2048 bits; • les clés des AC subordonnées émettrices correspondent à RSA 2048 bits; • les clés des titulaires de certificat, incluant les objets, correspondent à RSA 1024 bits, à

l’exception des clés d’horodatage, qui eux correspondent à RSA 2048 bits.

3.5.1.6 Caractéristiques de génération des clés publiques Les services cryptographiques utilisés doivent être conformes aux normes FIPS 140-2 niveau 3 permettant la génération d’un nombre aléatoire rencontrant les exigences propres au type de certificat requis.

3.5.1.7 Utilisation des clés Chaque certificat émis en vertu du présent énoncé contient une extension qui précise l’usage autorisé de ce dernier afin de respecter les règles en vigueur par la norme X509.v3. Un certificat peut être émis avec plusieurs références d’utilisation, mais il demeure restreint aux types d’utilisation prévus par SécurSanté.

de 30

3.6 Protection de la clé privée de l’AC

3.6.1 Références aux modules cryptographiques Les services cryptographiques utilisés doivent être conformes aux normes FIPS 140-2 niveau 3 autant pour la génération que pour le renouvellement des clés privées de l’AC racine ou des AC subordonnées émettrices.

3.6.2 Contrôles d’accès aux clés privées Pour tous les usages des clés privées des AC décrits dans le présent énoncé de politique, l’intervention d’au moins deux représentants dument autorisés du PSC est requise pour les accès d’autorisation ou de contrôle impliquant les accès aux clés privées des AC.

3.6.3 Conservation de clés privées pour dépôt Seules les clés privées associées aux certificats de chiffrement seront conservées en dépôt pour rencontrer les conditions de récupération des actifs informationnels qui seraient chiffrés à l’aide des clés publiques associées. Ces clés privées seront conservées dans les équipements spécialisés qui assurent leur confidentialité et leur pérennité.

3.6.4 Prise de copies pour la clé privée et conservation La clé privée de l’AC racine doit être exportée dans un dépôt chiffré, qui est par la suite pris en copie et conservé dans un lieu sécurisé hors site. La clé privée des AC subordonnées émettrices doit être chiffrée sur le serveur et la clé de chiffrement doit être conservée sur un équipement spécialisé qui en assure la disponibilité et l’intégrité. Cette tâche administrative doit être accomplie sur chacune des AC subordonnées émettrices, consécutivement.

3.6.5 Archivage des clés privées Mis à part les mentions de conservation en dépôt des clés privées indiquées au paragraphe 3.6.3, le PSC n’offre pas de service d’archivage des clés privées.

3.7 Contrôle de sécurité informatique Le système utilisé pour effectuer la gestion des clés et des certificats doit être protégé par des mesures de sécurité. Ces mesures peuvent être des fonctions du système d’exploitation ou de l’application. Elles doivent :

a) être pourvues d’un contrôle d’accès aux services et aux rôles définis par le PSC;

b) prévoir la séparation des tâches selon les rôles définis;

c) permettre l’identification et l’authentification de la personne qui exécute les opérations;

d) permettre l’utilisation du chiffrement pour les sessions de communication et la sécurisation des bases de données;

e) permettre la journalisation et la conservation des événements relatifs à la sécurité. Ces derniers ne doivent pas être accessibles par l’administrateur de système ou la personne qui exécute les opérations;

f) procéder à la vérification automatique des mécanismes de sécurité;

g) comporter un chemin de confiance pour l’accès aux infrastructures de l’AC;

de 30

h) procurer l’assurance de la robustesse par des mécanismes de détection d’intrusion ou d’injection de virus risquant d’affecter l’infrastructure.

3.8 Données d’activation

3.8.1 Activation des clés privées des utilisateurs ou des objets Les clés privées des titulaires de certificat sont protégées par un mot de passe qui doit être produit et validé à chaque requête d’accès à la clé privée. À l’exception des certificats d’objet et lorsque le niveau de confiance le requiert, les clés privées doivent résider sur un support matériel externe qui doit demeurer en tout temps sous le contrôle du titulaire de certificat.

3.8.2 Procédures de contrôle Les titulaires de certificat s’engagent à respecter les conditions d’utilisation des certificats numériques émis par le PSC. La validation du certificat rend son usage exclusif au domaine de la santé au Québec.

3.9 Période de validité des certificats Le certificat de l’AC racine a une durée de vie de douze ans et celui des AC subordonnées émettrice, de six ans.

La période de validité des certificats varie selon le type de certificat émis, en fonction de l’identificateur d’objet attribué. Ces périodes sont établies comme suit :

• pour l’AC racine, le certificat a une durée de validité de douze ans ;

• pour les AC subordonnées émettrices, les certificats ont une durée de validité de six ans ;

• pour les titulaires de certificat, à l’exception des objets, les certificats ont une durée de validité de trois ans ;

• pour les objets, les certificats ont une durée de validité de deux ans.

3.10 Publication des clés Les clés publiques qui sont associées aux certificats émis sont publiées à même le référentiel d’entreprise du domaine de la santé du Québec. Aucune autre forme d’archivage des clés publiques n’est supportée.

3.11 Format et contenu des certificats

3.11.1 Format des certificats Le PSC attribue des certificats répondant à la norme X.509 version 3.

3.11.2 Nom distinctif Le PSC doit s’assurer que le nom distinctif de chacun des certificats délivrés est unique. Ce nom distinctif émis lors du processus de délivrance de certificat est constitué des nom et prénom du titulaire et doit notamment contenir le code, à savoir l’identifiant unique, provenant du compte utilisateur.

de 30

3.11.3 Contenu des certificats Les certificats doivent contenir les renseignements suivants :

1. le nom distinctif du PSC qui a délivré le certificat, ainsi que sa signature ; 2. l’algorithme de signature du certificat ; 3. l’identifiant d’objet correspondant au type de certificat; 4. la version du format du certificat; 5. le numéro de série du certificat ; 6. la période de validité du certificat; 7. le nom du titulaire ou de l’objet; 8. la clé publique associée au titulaire du certificat; 9. l’empreinte numérique du certificat; 10. l’algorithme d’empreinte numérique du certificat; 11. le nom distinctif du titulaire attribué par le PSC; 12. l’identification de la catégorie d’intervenant associé au titulaire autre qu’un objet, tel que

stipulé dans les conditions de mise en œuvre; 13. les opérations permises par ce certificat, tel que la signature, l’authentification et le

chiffrement.

3.12 Format et contenu de la liste des numéros des certificats annulés (LNCA)

3.12.1 Format de la LNCA Un condensé numérique complet de la LNCA est établi et signé par le PSC qui l’a émis et est publié conformément à la norme X.509 version 3. Le PSC est le détenteur de la LNCA. Celle-ci est identifiée par le nom distinctif du PSC qui l’a établie et contient la date et l’heure de son émission, ainsi que la date et l’heure de son expiration. Le PSC est responsable de transmettre la LNCA au PSR, pour publication, immédiatement après sa délivrance.

3.12.2 Contenu de la LNCA La LNCA contient au moins les renseignements suivants :

- le numéro de série et le statut des certificats annulés;

- la date et l’heure de la LNCA;

- le motif d’annulation, par exemple une compromission de clé, ou de suspension du certificat;

- le nom distinctif et la signature du PSC;

- la date et l’heure de délivrance de la LNCA.

La LNCA ne doit pas permettre de connaître le motif administratif, par exemple la radiation d’un ordre professionnel, de l’annulation ou la suspension des certificats. Par contre, cette information est inscrite dans le RTC.

3.13 Format et contenu du répertoire des certificats Le répertoire des certificats contient les certificats émis par le PSC, ainsi que les informations relatives aux certificats. Ce répertoire sert notamment à produire la LNCA et à confirmer la validité des certificats ainsi répertoriés.

Le PSC est responsable des renseignements inscrits au répertoire des certificats. Le PSR est responsable de diffuser la LNCA.

de 30

3.14 Périodicité et procédure de mise à jour des certificats et des LNCA Toute opération sur les certificats déclenche, s’il y a lieu, la mise à jour de la LNCA, du contenu du répertoire des certificats et du RTC. Toute modification d’un élément d'information touchant le service de vérification d'un certificat par le PSR doit être communiquée immédiatement par le PSC au PSR.

Les LNCA générées à partir du répertoire des certificats sont mises à jour régulièrement en fonction des règles suivantes :

• la LNCA de l’autorité de certification (AC) racine est mise à jour tous les six mois, avec une mention d’expiration après 190 jours;

• Les AC émettrices subordonnées publient une LCNA complète toutes les 24 heures pour une période de validité de 28.4 heures. Cette période de validité comprend une période de chevauchement de quatre heures à la fin de la période de validité et deux périodes fuseaux horloge de dix minutes au début et à la fin de la période de validité;

• Les AC émettrices subordonnées publient une LCNA partielle toutes les huit heures pour une période de validité de 10.4 heures. Cette période de validité comprend une période de chevauchement de deux heures à la fin de la période de validité et deux périodes fuseaux horloge de dix minutes au début et à la fin de la période de validité.

3.15 Politique de confidentialité Tous les renseignements recueillis, utilisés, conservés ou communiqués par le PSC sont assujettis, selon le cas, à la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1) ou à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q, c. P-39.1) ainsi qu’à toute autre loi spécifique pouvant s’appliquer.

3.16 Traitement des plaintes Toute personne souhaitant déposer une plainte concernant les services de certification peut s’adresser au PSC. La plainte est prise en charge selon les politiques internes de la Régie. La plainte doit être traitée dans les meilleurs délais et le traitement documenté.

3.17 Cessation des activités Un PSC qui, sur décision du gouvernement, cesse ses activités doit en informer les partenaires impliqués au minimum 90 jours avant la date prévue de cessation. Il doit prendre les dispositions nécessaires pour transférer ses responsabilités, dossiers et données à un autre PSC dûment désigné par le gouvernement. De plus, dans l’éventualité où le Dossier de santé ne serait pas déployé sur le territoire québécois, le PSC doit prendre les mesures nécessaires pour permettre l’accès aux dossiers de santé constitués au cours du projet expérimental, à un nombre suffisant de titulaires de certificat, selon des critères déterminés par le ministre, et ce, pour un délai de cinq ans suivant la date de fin du projet expérimental.

3.18 Administration de l’énoncé de politique du PSC

3.18.1 Publication de l’énoncé de politique du PSC Le PSC publie sur le site Internet du MSSS son énoncé de politique.

de 30

3.18.2 Procédure de modification de l’énoncé de politique du PSC et approbation L’énoncé de politique du PSC est modifié chaque fois que les circonstances l’exigent. La nature des changements est documentée et lorsque les modifications à l’énoncé de politique ont des incidences sur les processus des services de certification, le PSC doit s’assurer d’apporter les correctifs nécessaires avant la diffusion de la nouvelle version de son énoncé.

Le PSC peut consulter un comité constitué d’un représentant de chacune des organisations impliquées et de toute autre personne dont l’expertise et les compétences pourraient être jugées nécessaires.

Par la suite, le PSC publie la nouvelle version de son énoncé.

Finalement, selon la nature des modifications, le PSC peut décider d’aviser les utilisateurs des modifications proposées.

3.18.3 Garanties

Le PSC garantit qu’il a pris les moyens raisonnables pour s’assurer que les renseignements qu’il certifie sont exacts.

Le PSC décline toute responsabilité à l’égard des certificats portant la mention « test » ou « certificat d’essai » ou toute autre mention de même nature indiquant qu’on ne peut raisonnablement s’y fier.

3.18.4 Sanctions

Lorsque le PSC a des motifs raisonnables de croire que la fiabilité ou la compétence d’un titulaire de certificat peut être mise en doute, entre autres en raison du non respect des conditions d’utilisation du service, d’un geste ou d’un acte non autorisé, il doit annuler son certificat et désactiver son compte utilisateur.

3.18.5 Disposition finale

Le présent énoncé de politique entre en vigueur le 1er juillet 2009.