Règlement IDP

Règlement d’identification et d’authentification d’accès à la plateforme Abilis pour les utilisateurs

1. Objet du Règlement

Le présent Règlement contient les termes et conditions d’utilisation des identifiants sécurisés permettant au professionnel de soin et à ses auxiliaires ainsi qu’aux patients d’accéder à la plateforme santé Abilis exploitée par Ofac société coopérative et à la Communauté de référence Abilis (CR Abilis) exploitée par Abilis Communauté de référence nationale et interprofessionnelle de la médication SA (Abilis SA) via l’application identity provider trustID d’Elca informatique SA. Les identifiants sécurisés répondront au Service Level Agreement de l’identity provider trustID Elca Informatique SA et Ofac n’assume aucune garantie.
Les règles prévues par la Loi fédérale sur le dossier électronique du patient et ses ordonnances d’exécution actuelles et futures s’appliquent pour le surplus, en particulier celles prévues à l’annexe 8 de l’ordonnance du DFI du 22 mars 2017 et toute autre disposition qui la remplacera.

2. Sensibilisation des utilisateurs à la sécurité

2.1.    Généralités

Tous les utilisateurs doivent comprendre leur responsabilité en matière de sécurité de l’information et doivent être conscients des menaces en matière de sécurité de l’information.

Les utilisateurs veilleront à garder confidentielles les données en matière d’identification et d’authentification, de sorte qu’elles ne soient pas divulguées à des tiers et ils éviteront de les conserver sur du papier, sur un fichier non protégé ou un un terminal portable, à moins qu’elles soient stockées en utilisant une méthode approuvée.

2.2.    Mots de passe

Les utilisateurs utiliseront des mots de passe sophistiqués afin de réduire les risques d’accès malveillants à leur ordinateur, leur adresse e-mail, les réseaux sociaux, leur comptes bancaires ainsi qu’à trustID. Le mot de passe doit contenir au moins 8 caractères ; 
Les utilisateurs opteront pour un mélange de lettres, de majuscules et de minuscules, de chiffres et de caractères spéciaux (au moins un de chaque) ;
Les utilisateurs ne définiront pas leur identifiant comme mot de passe;
Les utilisateurs ne réutiliseront jamais deux fois le même mot de passe;
Les utilisateurs choisiront un mot de passe impersonnel (sans relation avec des informations personnelles, par exemple : noms, animaux de compagnie, date de naissance) ;
Les utilisateurs éviteront les noms célèbres ainsi que les mots du dictionnaire ;
Les utilisateurs ne partageront jamais leur mot de passe ;
Les utilisateurs entreront leur mot de passe uniquement sur des appareils de confiance.
Les utilisateurs ne doivent pas réutiliser un mot de passe qu’ils ont déjà défini pour un autre service sur Internet.

2.3.    Demande de mot de passe

Ofac et les professionnels de soin n’effectueront jamais aucune demande et ne communiqueront aucune information par email ou par téléphone concernant le mot de passe des utilisateurs.
Les utilisateurs ne donneront jamais leurs détails de sécurité à un tiers.
Si les utilisateurs reçoivent des emails ou des appels téléphoniques suspicieux leur demandant de transmettre le mot de passe soit par e-mail, fax, téléphone, etc, ils informeront immédiatement le support.

2.4.    Sites internet

Lorsque les utilisateurs accèdent au portail web Abilis via Internet, ils s’assureront de se déconnecter lorsqu’ils auront terminé leur consultation. 
Afin de s’assurer que la page web est sécurisée, les utilisateurs contrôleront l’URL, ainsi que la présence de la mention https:// ainsi que du symbole du cadenas dans la barre d’adresse, ce qui leur permettra de s’assurer qu’ils sont sur la page web désirée lorsqu’ils se connectent.

2.5.    Responsabilités

Les utilisateurs sont responsables des appareils (téléphone mobile, ordinateur personnel, …) utilisés pour accéder à la plateforme Abilis via trustID.
Si le téléphone mobile des utilisateurs est mal configuré, le degré de sécurité du service pourrait être altéré. Ofac ne peut être tenu responsable de la configuration des appareils personnels des utilisateurs.
Les utilisateurs veilleront également à prêter attention à toutes les applications installées sur leur téléphone portable et ordinateur. 
Les utilisateurs installeront et mettront à jour régulièrement un logiciel antivirus et un pare-feu afin de prévenir les infections des appareils par des virus informatiques et d’y empêcher des connexions malveillantes.
Ofac ne pourra en aucune façon être tenue responsable en cas d’impossibilité d’accéder à la plateforme Abilis. D’une façon générale, la responsabilité d’Ofac n’est engagée qu’en cas de dol ou de faute grave.

2.6.    Sens commun

Les utilisateurs feront preuve de bon sens et d’esprit critique afin de détecter des tentatives d’arnaque ou de piratage :

  • Ils seront attentifs à tout ce qui sort de l’ordinaire ;
  • Ils se méfieront des courriers électroniques dont l’expéditeur est inconnu. Les courriers électroniques sont très souvent utilisés par des personnes malveillantes pour infecter les ordinateurs. Ils ne cliqueront pas sur les liens et n’ouvriront pas les fichiers attachés dans ces courriers ;
  • Ils ne répondront pas aux spams (courriers électroniques publicitaires non sollicités): une réponse indique à l’expéditeur que l’adresse électronique existe et entraîne l’envoi d’autres spams ;
  • Ils seront attentifs en ouvrant des pièces jointes à des messages provenant de connaissances : celles-ci peuvent s’être fait pirater leur boîte électronique ;
  • Ils se méfieront des affaires en or sur internet : par exemple, gagner à un jeu auquel ils n’ont pas joué peut indiquer une tentative d’arnaque ;
  • Ils n’oublieront pas que la vie privée doit rester privée : il ne faut ni tout dire ni tout montrer sur internet. Dès que les données sont sur internet, les utilisateurs doivent être conscients qu’ils en perdent le contrôle. Une fois sur internet, les données restent accessibles d’une manière ou d’une autre.

Pour plus d’information, les utilisateurs peuvent visiter le site de MELANI (centrale d’enregistrement et d’analyse pour la sûreté de l’information: https://www.melani.admin.ch).

3.    Login à la plateforme Abilis

Le login à la plateforme Abilis et à la CR Abilis n’est possible que si un compte trustID a été créé au préalable selon la procédure définie par Ofac et trustID. Cette étape permet notamment de prouver l’identité de l’utilisateur et de garantir un maximum de sécurité.

4.    Applications mobiles via trustID

4.1.    Généralités

Les utilisateurs veilleront à toujours installer les applications mobiles depuis des sites de téléchargement officiels, comme par exemple: AppStore, Google Play Store, etc. et s’assureront que les éditeurs semblent légitimes et sérieux (adresse emails en rapport avec l’application, réponses cohérentes aux questions, descriptions intelligibles, mises-à-jour régulières…).
Les utilisateurs effectueront les mises-à-jour du mobile ainsi que des applications régulièrement afin de diminuer les risques d’exploitation de failles de sécurités par des personnes malveillantes. Il est à noter que les mises à jour automatiques peuvent être activées.
Il est important de toujours verrouiller le téléphone portable lorsqu’il n’est pas utilisé.
En cas de perte ou de vol de leur téléphone mobile, les utilisateurs contacteront le support trustID.
Ofac mettra à disposition des utilisateurs des identifiants trustID certifiées qui permettront aux utilisateurs une authentification forte à 2 facteurs pour se connecter à la plateforme Abilis et à la CR Abilis.

4.2.    Installation

L’application mobile trustID est disponible pour les plateformes Android et Apple. Elle peut être téléchargée sur Google Play Store, l’Apple Store. Les liens sont disponibles sur le site www.abilis.ch 
Les droits suivants sont demandés par trustID lors de l’installation:

  • iOS: Caméra ; Face ID, Notification
  • Android: Caméra, Flashlight, Internet

4.3.    Authentification forte

L'accès sécurisé à certaines ressources sensibles requiert une authentification forte, en plus du compte utilisateur et du mot de passe. 
C’est authentification forte combine deux moyens d’authentification, par exemple :

  • Ce que vous connaissez (mot de passe)
  • Ce que vous possédez (carte à puce, téléphone mobile)
  • Ce que vous êtes (empreinte digitale)
  • Ce que vous savez faire (calcul)

Les utilisateurs se connecteront avec deux moyens d’authentification, ce qui leur permettra d’accéder de manière sécurisée à la plateforme Abilis.

4.4.    Support

Si les utilisateurs ont perdu leur code d’authentification forte, il leur suffira de recommencer la procédure de login. Un nouveau code d’authentification fort leur parviendra.
Si les utilisateurs ont des questions, si des messages inhabituels apparaissent ou s’ils rencontrent un problème, ils interrompront immédiatement la connexion et informeront le support.

4.5.    Changement/perte de mot de passe

Si les utilisateurs souhaitent modifier leur mot de passe, changer le moyen d’authentification forte ou mettre à jour leur numéro de téléphone mobile, ils pourront accéder à un portail Web self-service dédié pour le faire.
Si les utilisateurs ont oublié leur mot de passe, le lien «mot de passe oublié» sur la page de login leur permettra de procéder au recouvrement de leur mot de passe.