Présentation de la CPS4

• elle constitue le maillon final d’une chaîne de confiance qui permet à son titulaire d’attester son identité professionnelle et ses qualifications ; 
• elle est délivrée par l’Agence du Numérique en Santé qui est le tiers de confiance reconnu et l’autorité de certification désignée du secteur de la santé ;
• elle contient principalement l’identité du porteur, sa qualification professionnelle, et son (ou ses) activité(s) et des certificats électroniques permettant de garantir ces informations ;
• elle sera déployée pour tous les usages à partir du deuxième semestre 2025.

Tout en conservant la continuité de service avec les applications déployées sur le terrain comme l’authentification, la signature de FSE et les accès aux données métier, la CPS4 permet de nouveaux usages en lien avec ses nouveautés techniques.

Actuellement, l'Agence du Numérique en Santé (ANS) se prépare donc à déployer la version 4 de la CPS, succédant à la version 3 lancée en 2011. Cette mise à niveau est planifiée entre le second semestre 2024 et le second semestre 2025, afin de répondre aux exigences actuelles et futures en matière de sécurité.

Cette carte bénéficie des dernières avancées technologiques. Elle offre à la fois de nouveaux services, plus de sécurité et est en conformité avec la législation française et européenne.

Afin de maintenir la compatibilité des cartes CPS avec le terrain, la carte CPS4 propose une émulation du volet actuel CPS2ter.

La CPS4 se présente en trois volets : 

• Une application régalienne contact pour les usages métiers : conforme aux standards Européens EN-41921 pour la signature et l’authentification. Ce volet inclus également une émulation CPS2ter pour la gestion des données métier afin d’assurer une compatibilité ascendante et une transition efficace de la carte CPS3 vers la CPS4 (période transitoire de cohabitation des CPS3 et CPS4 sur le terrain).
• Une application DESFire sans contact pour le contrôle d’accès physique / logique.
• Une application FIDO2 pour une authentification forte.

A la mise sous tension de la carte CPS4 dans le lecteur, celle-ci se comporte toujours rigoureusement comme une CPS3. Ceci est un gage de compatibilité avec toutes les applications existantes et notamment avec les applications SESAM-Vitale.

Les applications utilisant les middlewares API SESAM-Vitale et/ou Cryptolib CPS seront toujours en mesure, sans évolutions, de fonctionner avec la CPS4.

Sur un poste de travail, le seul composant logiciel pouvant nécessiter une mise à jour est le middleware Cryptolib CPS, qui doit être en version 5.2 ou plus. Les Dispositifs Intégrés (DI) peuvent également nécessiter une mise à jour.

Seules les nouvelles applications, utilisant le nouveau middleware seront en mesure d’activer les nouvelles fonctionnalités.

Le Référentiel Général de Sécurité établissant le cadre des échanges dématérialisés entre les usagers et l’administration et défini conjointement par l’ANSSI et la DGME fixe les règles à respecter en fonction du niveau de sécurité visé. S’agissant des données de santé, le niveau visé est le niveau « renforcé » tel que défini dans le référentiel de l’ANSSI. En conséquence, le niveau d’évaluation retenu pour la carte CPS4 est certifiée CC EAL 4+.

La carte CPS4 est conforme aux standards Européens EN-419212.

La carte CPS4 utilise un composant dont la technologie plus récente offre de meilleures performances notamment en termes de temps de calcul cryptographique.

La carte CPS4, grâce à ses capacités cryptographiques, permet la mise en œuvre de mécanismes de sécurité indispensables pour la e-santé :

• identification unique de tout professionnel de santé de manière fiable et certifiée au niveau national ;
• authentification des utilisateurs distants : permet de garantir l’identité des professionnels de santé connectés grâce à la saisie de leur code confidentiel et la possession de la carte ;
• signature électronique des transactions et des messages échangés entre professionnels de santé ou avec les patients ;
• chiffrement des messages lors des transmissions sur des réseaux non sûrs.

De nouvelles modalités d’authentification du porteur :

• l’authentification forte en contact avec saisie du code confidentiel reste l’usage classique de la carte ;
• afin d’améliorer l’ergonomie d’usage dans un contexte de mobilité, une authentification simple sans contact est proposée par la carte CPS4 avec la technologie entrante DESFire. Combinée avec une authentification forte initiale en mode contact, ce mode d’utilisation apporte la simplicité recherchée tout en garantissant un niveau de sécurité acceptable ;
• pour les applications de contrôle d’accès aux locaux, au parking ou la restauration d’entreprise, l’identification simple sans contact par la lecture d’un numéro de série de composant répond au besoin. Dans certain cas, par exemple une phase de transition entre un ancien badge et une CPS, la lecture du numéro de série de composant permet de résoudre des problèmes de compatibilité. Cette approche est fortement déconseillée par l'ANS en raison des préconisations de l'ANSSI.

L’accès à la carte sur le poste de travail est réalisé au moyen d’un composant logiciel d’interface appelé "middleware".

L’utilisation de la CPS4 nécessite une mise à jour mineure du middleware actuel (version 5.2 ou plus). Ce nouveau middleware est compatible ascendant, c’est à dire qu’il gère les CPS3 et CPS4.

Ces composants et les manuels associés sont disponibles sur la page dédiée à la Cryptolib CPS (accès réservé aux titulaires d'un compte iSC ayant validé le Contrat Editeurs et Intégrateurs depuis leur Espace Authentifié) du portail Industriels de l'Agence du Numérique en Santé.

Les documentations et notes techniques dédiées à la carte CPS4 sont disponibles en accès libre sur la page du socle technique CPS