De nouveaux usages, complexes, comme la télémédecine, ou bien l’évolution constante des référentiels de sécurité informatique, imposent plus que jamais un degré de vigilance particulier quant à l’usage de la BAL FSE et sur les pratiques qui en découlent. Le sujet est ancien, comme le système SESAM-Vitale, mais il reste important et éventuellement un maillon faible de la chaîne, en tous cas un point de fragilité.
Les considérations qui suivent sont des considérations de bon sens pour un professionnel de l’informatique. Il semble néanmoins intéressant de les rassembler par soucis de qualité et d’homogénéisation des processus mis en oeuvre en pratique. Toute remarque ou critique à ce sujet sera la bienvenue, et pourra être adressée à support@pyxistem.com.
Pour rappel, la télétransmission des FSE/DRE utilise historiquement les protocoles SMTP et POP3, pour l’envoi des FSE/DRE et la réception des retours caisse comme les ARL. Il s’agit d’un système de Boîte Aux Lettres (BAL) applicative, donc technique, (BAL FSE usuellement même si en réalité les FSE ne transitent jamais par la BAL en question), et non pas d’une messagerie au sens classique du terme, même si les technologies employées invitent à la confusion. Concrètement, les mails du Professionnel de Santé (PS) n’ont aucune raison de figurer dans cette infrastructure, et de nouveaux outils comme la Messagerie Sécurisée de Santé (MSS) ont été créés pour l’échange des données médicales sensibles.
Pyxvital à travers son composant Pyxnet, met en place des mécanismes adaptés à cet usage, assurant de fait une cinématique qui :
- sans action de la part de l’utilisateur (il ne peut donc par mégarde cliquer sur un quelconque lien suspect),
- prélève et détruit instantanément dans la BAL FSE les éléments destinés au PS avec un format SESAM-Vitale spécifique,
- détruit purement et simplement tous les autres éléments, non reconnus, en affichant une alerte signalant au PS la détection d’une anomalie.
Par construction donc, ce mécanisme d’accès à la BAL FSE ne permet pas le chargement sur le Poste de Travail d’un contenu actif comme un virus, un cheval de Troie, un logiciel malveillant(malware), un rançongiciel (ransomware).
Les consignes suivantes sont à respecter avec la plus grande vigilance :
- Choix de l’hébergeur de BAL FSE par le PS : Quels que soient les précautions au niveau du Poste de Travail (PdT) du PS, le choix de l’hébergeur de BAL est fondamental. Il faut clairement choisir un hébergeur français, professionnel et de confiance, à caractère institutionnel, La Poste typiquement ou Orange.
Orange propose d’ailleurs un offre spécifique « Boîte aux Lettres Santé », connue historiquement sous l’appellation « Wanadoo Santé ».
Il faut absolument bannir les systèmes obscurs comme gmail pour ce type d’activité.
De plus, étant donné que le PS n’a pas le contrôle de ce qui est envoyé dans cette BAL FSE, et s’il estime de par sa pratique que des données de santé sont susceptibles de transiter, alors il faudra nécessairement opter pour des produits agréés Santé, label HDS ou équivalent. - Nommage de la BAL et hygiène informatique : Pour le bon fonctionnement et la fluidité du système, il faut autant que possible éviter de recevoir de spams, qui risquent d’encombrer la BAL FSE, en déclenchant des alertes nombreuses et perturbantes. En donnant à la BAL FSE un nom technique et abscons, ex: XYZ999212, on évite toute notion nominative. Ce type de nom minimise également la probabilité de recevoir des mails intempestifs, générés sur des critères simples et usuels. En ne référençant jamais cette BAL dans aucun carnet d’adresse, aucun formulaire, en ne l’utilisant jamais par ailleurs, on évite de devenir une cible facile. Pour éviter tout parasitage des ARL (marques de certification, etc…), il convient de vérifier le paramétrage des logiciels tiers « scanneur » de mail. Ceci afin de ne pas altérer le contenu des retours attendus sous une forme très précise.
- Partage de BAL FSE entre plusieurs PS : ce partage est fortement déconseillé, pour des raisons techniques et sécuritaires. Contrairement aux débuts de SESAM-Vitale, les BAL ne sont pas « chères ».
- Multiplicité des BAL FSE pour une même situation d’exercice PS : cette multiplicité est fortement déconseillée et extrêmement périlleuse. Si pour des besoins très particuliers ce genre de situation devait se présenter, il est impératif de consulter le service technique Pyxistem afin de procéder à une analyse critique approfondie.
- Mise à jour des versions Pyxvital et Pyxnet, afin de bénéficier des fonctions les plus récentes : Comme pour le système d’exploitation, il est important de mettre à jour régulièrement la solution, de manière à bénéficier des correctifs ou évolutions techniques et réglementaires, les standards étant en perpétuelle évolution. Ces évolutions sont mises à disposition par la société Pyxistem, en fonction des dispositions contractuelles mises en place.
Concernant la protection globale en confidentialité, intégrité, authenticité, sur toute la filière de télétransmission, on peut considérer qu’à l’heure actuelle il faudra au minimum utiliser (fonctions disponibles pour Pyxvital dans les versions déclarées non obsolètes) :
- ESMTP afin de s’authentifier auprès du serveur SMTP,
- SSL (en fait échanges au format TLS) afin de d’abord protéger l’échange du mot de passe entre la sphère de sécurité PS et les serveurs POP3 ou SMTP,
- chiffrement natif des paramètres sensibles sur le Poste de Travail, même en mode Réseau local, ce qui est une facilité dispensant le recours à une autre solution de protection des mots de passe.
NB : depuis les versions 1.6x de Pyxvital, et l’avenant au CdC SESAM-Vitale connu sous le nom « Chiffrement du NIR » en 2015, les FSE/DRE sont chiffrées (et signées – structure CMS) avant émission depuis le PdT, à l’aide des certificats AMO et AMC. Les flux SCOR sont traités d’une manière comparable.
Pour des raisons de performance, l’option de Compression doit être positionnée à O (Oui), ce qui est normalement la valeur par défaut.
Ces techniques SESAM-Vitale permettent de se dispenser de l’option chiffrement de transport (SMIME), plus particulièrement adaptée aux flux hospitaliers, dont Pyxvital avait reçu l’homologation en 2007.
Au-delà de ces considérations particulières, le chiffrement de la session PS au niveau système d’exploitation, ou tout système équivalent, reste une recommandation forte.
En cas d’intégration de Pyxvital, et donc d’interfaçage, quelle que soit la formule d’agrément Mode Apparent ou Mode masqué en Réseau local, une analyse de l’architecture technique doit être conduite, en fonction du contexte d’utilisation réel de la solution par le PS, afin de préciser les précautions à prendre en compte.
Cette note des bonnes pratiques est à prendre en compte avant d’initier cette analyse, à réitérer régulièrement en fonction des évolutions des différents référentiels de sécurité.
En cas de solution en Réseau distant, le dossier d’Architecture et de Sécurité, validé par le GIE SESAM-Vitale, couvrira ces considérations, pour l’environnement local et l’environnement distant.