Les données de santé à caractère personnel sont des données sensibles. Les accès à ces données doivent être contrôlés pour en protéger la confidentialité et l’intégrité, ce qui passe notamment par l’utilisation de moyens d’authentification forte.
La CPS (Carte Professionnels de Santé) est le moyen à privilégier lorsque les données sont accédées par des Professionnels de Santé (Article R1110-3 du Code de la Santé Publique). Lorsque ce n’est pas possible, il faut se référer au corpus documentaire de la PGSSI-S pour trouver les « dispositifs équivalents » cités dans l’Article L 1110-4 du Code de la Santé Publique, plus particulièrement au Référentiel d’authentification des acteurs de santé.
Ce référentiel définit l’OTP (One Time Password – Mot de passe à usage unique) comme dispositif équivalent et classe ses différentes déclinaisons par ordre de priorité : OTP SMS, à défaut OTP push (seulement dans un environnement de mobilité), à défaut OTP e-mail.
Un OTP (One Time Password) est un code à usage unique, personnel et temporaire :
- Unique : il est généré de manière aléatoire et à la volée, après la saisie de son identifiant et mot de passe
- Personnel : il est délivré directement et seulement à l’utilisateur via son téléphone portable ou dans sa boîte e-mail
- Temporaire : il a une durée de vie limitée après sa génération et expire dès sa première utilisation
Quelques chiffres à retenir concernant l’OTP :
- Il est valable pour 1 seule session
- Il est saisi par l’utilisateur dans un délai maximum défini, en général il est valable 10 minutes
- Il est composé d’une suite d’au-moins 6 chiffres
Adèle ADAM
Security & Compliance Engineer, Claranet