« Mon Compte Partenaire » La gestion des accès
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Un renforcement de la sécurisation des accès Espace Partenaires Mon Compte Partenaire Service CDAP Module d’habilitation Habpps
Principes fondant l’attribution de l’accès à un service : Légitimité de l’opérateur social à bénéficier du service; Respect de la doctrine nationale d’accès; Existence et validité des supports contractuels.
Un conventionnement fondateur de l’attribution des accès Co-signe Co-signe Directeur caisse Conventions + bulletin d’adhésion Partenaire une convention d’accès à Mon Compte Partenaire un contrat de services un bulletin d’adhésion propre à chaque service.
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Service Habilitation – Concepts clés Application intégrée au portail (ex : CDAP) Est accédé via des rôles, porteurs d’habilitations Convention et contrat de services Contractualisation entre une Caf et un organisme partenaire Formalisent l’ensemble des accès et habilitations d’un organisme partenaire Bulletin d’adhésion Composant d’une convention Formalise les habilitations concernant un service donné
Service Habilitation – Concepts clés Vérification Processus de validation de la saisie d’une convention Seule une convention validée par un Vérificateur prend effet Avenant Modification de la convention (ex : ajout / retrait d’accès aux services) Entraîne une re-vérification de la convention Organismes partenaires Personne morale constituée d’utilisateurs et de groupes Les habilitations prévues dans la convention sont affectées aux groupes Les utilisateurs affectés à un groupe bénéficient des habilitations confiées au groupe
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Les modalités de gestion des accès Un module Habpps (pour Habilitation portail partenaires sécurisé) permet à la Caf d’attribuer les autorisations d’accès pour les personnes morales, et à terme pour les personnes physiques (bailleurs privés par exemple). La Caf autorise le partenaire à accéder à un service par le biais du module Habpps. La Caf délègue la gestion des utilisateurs au Partenaire.
Les modalités de la gestion déléguée Le partenaire attribue les droits d’utilisation à son personnel dans le cadre du périmètre d’autorisation d’accès attribué par la Caf. La délégation n'est pas liée au service lui-même. La délégation donnée à un partenaire vaut pour tous les services auxquels ledit partenaire a droit. La délégation de la gestion des accès aux partenaires habilités a été actée comme un principe dans le cadre de la mise en place du Mon Compte Partenaire.
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
2. Le Partenaire contacte sa Caf 1. Un partenaire souhaite accéder à Mon Compte Partenaire / Service CDAP 2. Le Partenaire contacte sa Caf 3. La Caf étudie la recevabilité de sa demande Décision Défavorable Favorable Refus 4. Proposition d’accès transmise au Partenaire en conformité avec la doctrine nationale & Transmission des supports contractuels : Convention d’accès/ Contrat de service/ Bulletin d’adhésion
5. Réception des supports contractuels par la CAF 6. Vérification de la conformité des documents Délégataire Dr CAF Décision Défavorable Favorable 7. Création de la convention et du bulletin d’adhésion dans HABPPS Refus ou demande auprès du partenaire des documents manquants Administrateur Caf
10. Activation des accès à Mon Compte Partenaire 8. Vérification de la saisie Décision Défavorable Favorable 9. Validation de la saisie Retour étape 5 10. Activation des accès à Mon Compte Partenaire
Le rôle du partenaire Partenaire Création des comptes utilisateur par le partenaire Affectation des droits dans le périmètre des accès accordé par la Caf Supervision des droits d’accès aux utilisateurs Suspension voire suppression des droits d’accès aux utilisateurs Responsable habilitation Partenaire Administrateur Partenaire
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Processus de signature de convention (1/2) Co-signe Co-signe Convention + annexes papier Directeur caisse Partenaire 2 Vérifie la conformité Convention + annexes papier validés Délégataire Dr CAF Procédure hors outil SI Procédure interne via le système d’habilitations portail (HABPPS) 3 Saisit dans le système Administrateur Caf Convention créée 4 L’accès du partenaire au portail et aux services est activé Valide la saisie Convention validée Vérificateur Caf (responsabilité agent comptable)
Processus de signature de convention (2/2) Suite à la demande d’un partenaire, la Caf prépare une convention contenant des annexes, qu’elle envoie à l’organisme partenaire. Les deux parties co-signent la convention. 1 Un délégataire responsable CAF se charge ensuite de vérifier et valider la convention sur le fond ; entre autres, est-ce que les accès donnés au partenaire sont justifiés par rapport à sa finalité. 2 Une fois la convention papier signée et validée, l’administrateur Caf formalise la convention au niveau de l’outil du SI, en saisissant certaines des informations du document papier dans le système. L’action préalable à la saisie de la convention est la création de l’organisme partenaire à partir des informations notées dans la convention papier 3 Le vérificateur est chargé de contrôler la saisie de l’administrateur Caf, en comparant les informations rentrées dans le système avec les informations de la convention papier. En l’absence d’erreur, il valide la convention. Cela permet à l’administrateur Partenaire de débuter la création des utilisateurs de son organisme. Si la convention est validée, les utilisateurs auront accès aux services pour lesquels ils sont habilités. 4
Précisions sur les identifiants utilisateur Un utilisateur partenaire a un identifiant unique par rapport à sa profession (et donc son organisme partenaire). S'il travaille dans un CD et qu'il a accès à plusieurs services Cnaf (traitées par une même convention), il utilisera un seul compte utilisateur. Par contre si c'est même personne est aussi un bailleur privé, alors elle utilisera un compte utilisateur différent (que celui utilisé dans le cadre de sa profession) pour accéder l'offre bailleur (ex QL Web).
Les Rôles dans le service HABPPS Administrateur national (ou CNAF) Gère les Caf, leurs habilitations et leurs agents Paramètre le déploiement des services au niveau national Administrateur Caf Gère les organismes partenaires, leurs groupes et utilisateurs Formalise et gère les conventions Vérificateur Valide ou invalide les conventions formalisées par sa Caf d’affectation Administrateur partenaire Représente l’organisme partenaire dans la convention Est responsable du respect des habilitations conférées Responsable habilitations Partenaire Gère les habilitations par délégation, sur un périmètre donné
Délégation de la gestion d’habilitations
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Tableaux de bords de supervision des habilitations Favoriser la détection de dérives d’utilisation ou d’attaques dans le cadre de la supervision du portail Tableaux de bord présents à la mise en production V1 Liste des utilisateurs actifs ne s’étant pas connectés depuis 6 mois Liste des utilisateurs actifs ayant effectué le plus d’actions métier depuis 6 mois, pour un service donné Exemple CDAP : nombre de dossiers consultés Liste des utilisateurs actifs ayant le plus gelé leur compte depuis 6 mois Un principe est acté dans le cadre d’une politique de contrôle des accès au portail. Travaux en cours sur un référentiel PS 144
Supervision HABPPS – TBD « Liste utilisateurs non connectés depuis x mois » Mécanisme d’acquittement Mécanisme d’alerte par mail
Supervision HABPPS – TBD « Analyse des gels de compte »
Supervision HABPPS – TBD « Suivi des actions métier par service » Mécanisme d’acquittement Mécanisme d’alerte par mail
Sommaire Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification
Sécurisation des accès Démarche globale
Nouveau paradigme de l’infrastructure sécurité Démarche d’homologation RGS Mise en place d’une solution « multiplateformes » Rationalisation de nos équipements de sécurité Vers une homologation RGS Adoption de l’OWASP Première mise en application avec CDAP Nouveau référentiel de gestion des habilitations (HabPPS)
Politique d’accès Politique de gestion du mot de passe Stockage sécurisé Durée de validité limitée du mot de passe personnel et mot de passe provisoire Niveau de complexité Le mot de passe doit comporter entre Lettre majuscule, lettre minuscule, chiffre, caractère spécial Gestion d’un historique de mot de passe profondeur de 3 mots de passe Gel de connexion de suite à 5 tentatives de connexion infructueuse Gestion de la session Blocage du multi-sessions Durée maximale d’inactivité 6 mois 24 h 8 à 20 caractères 4 types 10 min 30 min
Sécurisation des accès Processus d’authentification
Processus d’authentification Création d’un compte utilisateur Suite à la création du compte utilisateur par l’administrateur, réception de 2 mails Un pour l’identifiant Un pour le Mot de passe
Processus d’authentification Première authentification
Processus d’authentification Première authentification (suite) DE MON COMPTE PARTENAIRE à Mon Compte Partenaire à Mon Compte Partenaire à Mon Compte Partenaire à Mon Compte Partenaire à Mon Compte Partenaire
Processus d’authentification Sécurisation du mot du passe 8
Processus d’authentification Fonctionnalité « mot de passe oublié »
les nouveaux accès pour les Conseils Départementaux
Le service CDAP
Sommaire Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP
Les valeurs ajoutées de CDAP Une réelle valeur ajoutée Une rapidité d’accès à l’information Une ergonomie fluide et lisible Une sécurisation d’accès aux données Un contenu de qualité et utile
Sommaire Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP
La doctrine d’accès au service CDAP A- Les règles fonctionnelles. Le service CDAP permet d’extraire des bases Cristal et de mettre à la disposition des partenaires habilités les données nécessaires à l’exercice de leur mission. Les données seront accessibles dans les rubriques homogènes Dossier/ Droits/ Adresse/ Famille/ Logement/ RSA / Paiement/ Courrier/ Ressources/ Créances/ attestation de paiement. Le partenaire aura un accès différencié aux différentes rubriques en fonction de l’autorisation d’accès attribuée. Dans la limite de l’habilitation accordée et pour l’exercice de leur mission, les utilisateurs désignés par le partenaire consulteront les données mises à disposition. L’accès au service s’effectuera par un identifiant et un mot de passe au travers du Portail Partenaires Sécurisé qui en assure notamment la traçabilité. La consultation d’un dossier se fait à partir du numéro d’allocataire; cet identifiant doit donc être connu du tiers, recueilli lors de la prise de contact de l’allocataire ou par le biais d’un formulaire. Une fiche de synthèse sera mise à disposition avec les données clés sur le dossier allocataire
La doctrine d’accès au service CDAP B - La démarche auprès de la CNIL. La communication de données à caractère personnel constitue un traitement au sens de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. L’application CDAP est donc soumise aux obligations de ladite loi. L’application sera encadrée par les dispositions d’un acte réglementaire « Portail Partenaires » pris par la Cnaf et publié (sur www.caf.fr). Une demande sera déposée en ce sens auprès de la CNIL début 2016 et englobera le portail Partenaires, le dispositif gestion des habilitations sécurisées et le premier service livré. C - Les engagements du partenaire. Une convention globale en cours d’élaboration encadrera les accès au bouquet de services mis à disposition sur le portail Partenaires en fixant les conditions de mise à disposition du service et mentionnera pour le tiers les engagements.
La doctrine d’accès au service CDAP D - Des accès aux données différenciés par nature de partenaire (transposition des profils T1 à T5)* Une autorisation d’accès « Assistant de service social – CESF » est prévue pour : les assistants de service social des Caisses d’assurance retraite et de la santé (Carsat) et de Mutualité sociale agricole, les services de la Caisse nationale d’assurance vieillesse (Cnav) qui assurent le rôle d’une Carsat pour les départements d’Ile-de-France, les assistants de service social des services hospitaliers, quelle que soit leur nature juridique (Cliniques, les établissements médico-sociaux…) les travailleurs sociaux des CCAS (éducateurs spécialisés et CESF) * En cours de stabilisation
La doctrine d’accès au service CDAP D - Des accès aux données différenciés par nature de partenaire (transposition des profils T1 à T5 - suite) Une autorisation d’accès est prévue pour « Prestataires de services sociaux bénéficiaires de crédits d’action sociale Caf ». Une autorisation d’accès est prévue pour : les organismes instructeurs du Rsa (accès après vérification du numéro instructeur), les agents sous la responsabilité du président du Conseil Départemental (PCD), ou l’Agence départementale d’insertion dans les DOM, chargés du suivi des dossiers Rsa,
La doctrine d’accès au service CDAP Proposition Descriptif des accès attribués aux partenaires Assistants de service social – CESF - Prestataires de services sociaux bénéficiaires de crédits d’action sociale Caf Organismes instructeurs du Rsa et CPAM Rubriques homogènes 1/ Dossier X 2/ Droits 3/ Adresse 4/ Famille 5/ Logement 6/ RSA 7/ Paiement 8/Courrier 9/Ressources 10/ Créances 11/ Attestation de paiement Données complémentaires QF CNAF Enfants
Sommaire Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP
Sommaire Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP
Gestion de la transition CDAP reprendra in extenso les fonctionnalités de Cafpro en les améliorant. Les accès pour les différents profils existants à ce jour dans Cafpro seront ouverts progressivement dans le service CDAP. Le lot 1 de CDAP sera livré mi-juillet 2016. Les profils utilisateurs T1 à T5 (Cafpro) devront basculer dans CDAP d'ici au 31/12/2016. Les autres profils T6 à T16 seront livrés au cours de l'année 2017. Chaque organisme devra assurer la montée en charge du portail et du service CDAP dans les délais impartis. Le temps de la bascule Cafpro /CDAP, les accès à l’outil Cafpro seront maintenus pour les profils concernés pour faciliter la gestion de cette phase transitoire. Dès fin juin, deux nouveaux profils d’accès seront à disposition des Cafs. Ceux-ci sont destinés aux services contentieux et aux services de contrôle des Conseils Départementaux dans le cadre du développement des partenariats locaux.
Sommaire Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP
CDAP – Page de bienvenue (espace authentifié) Message en lien avec la sécurisation des accès Message de présentation sommaire du portail *Présentation non stabilisée
CDAP – Fiche de synthèse Centralise les informations importantes des différentes rubriques sur une seule page S’adapte à l’habilitation de l’utilisateur Exemple sur un rôle de type T5 (chargés de suivi des dossiers RSA) *Présentation non stabilisée 53
CDAP – Affichage par période Permet une recherche simplifiée d’information sur des périodes Utilisation de calendrier Exemple sur la rubrique Droits *Présentation non stabilisée
CDAP – Consolidation de données sur une page Centralise les données recherchées sur une page Permet d’avoir une navigation plus efficace Exemple sur la rubrique « Ressources » avec le regroupement des ressources annuelles et trimestrielles *Présentation non stabilisée
Supervision CDAP - TBD « Evolution du nombre d’habilitations » Permet de suivre l’évolution de nombre d’habilitations sur les profils CDAP Recherche par organisme partenaire Recherche par rôle utilisateur Recherche par période Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf) ; au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée
Supervision CDAP - TBD « Niveau de consultation des rubriques métier » Permet de mesurer l’utilisation des rubriques Recherche par profil Recherche par période Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf); au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée
Supervision CDAP - TBD « Statistiques d’un organisme partenaire » Liste des indicateurs clés de suivi d’un organisme partenaire Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf); au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée