Mon Compte Partenaire La gestion des accs Sommaire

« Mon Compte Partenaire » La gestion des accès

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Un renforcement de la sécurisation des accès Espace Partenaires Mon Compte Partenaire Service CDAP Module d’habilitation Habpps

Principes fondant l’attribution de l’accès à un service : • Légitimité de l’opérateur social à bénéficier du service; • Respect de la doctrine nationale d’accès; • Existence et validité des supports contractuels.

Un conventionnement fondateur de l’attribution des accès Co-signe Directeur caisse Co-signe Conventions + bulletin d’adhésion Þ une convention d’accès à Mon Compte Partenaire Þ un contrat de services Þ un bulletin d’adhésion propre à chaque service. Partenaire

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Service Habilitation – Concepts clés • Service – Application intégrée au portail (ex : CDAP) – Est accédé via des rôles, porteurs d’habilitations • Convention et contrat de services – Contractualisation entre une Caf et un organisme partenaire – Formalisent l’ensemble des accès et habilitations d’un organisme partenaire • Bulletin d’adhésion – Composant d’une convention – Formalise les habilitations concernant un service donné

Service Habilitation – Concepts clés • Vérification – Processus de validation de la saisie d’une convention – Seule une convention validée par un Vérificateur prend effet • Avenant – Modification de la convention (ex : ajout / retrait d’accès aux services) – Entraîne une re-vérification de la convention • Organismes partenaires – Personne morale constituée d’utilisateurs et de groupes – Les habilitations prévues dans la convention sont affectées aux groupes – Les utilisateurs affectés à un groupe bénéficient des habilitations confiées au groupe

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Les modalités de gestion des accès • Un module Habpps (pour Habilitation portail partenaires sécurisé) permet à la Caf d’attribuer les autorisations d’accès pour les personnes morales, et à terme pour les personnes physiques (bailleurs privés par exemple). • La Caf autorise le partenaire à accéder à un service par le biais du module Habpps. • La Caf délègue la gestion des utilisateurs au Partenaire.

Les modalités de la gestion déléguée • Le partenaire attribue les droits d’utilisation à son personnel dans le cadre du périmètre d’autorisation d’accès attribué par la Caf. • La délégation n'est pas liée au service lui-même. • La délégation donnée à un partenaire vaut pour tous les services auxquels ledit partenaire a droit. Þ La délégation de la gestion des accès aux partenaires habilités a été actée comme un principe dans le cadre de la mise en place du Mon Compte Partenaire.

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

1. Un partenaire souhaite accéder à Mon Compte Partenaire / Service CDAP 2. Le Partenaire contacte sa Caf 3. La Caf étudie la recevabilité de sa demande Décision Défavorable Refus Favorable 4. Proposition d’accès transmise au Partenaire en conformité avec la doctrine nationale & Transmission des supports contractuels : Convention d’accès/ Contrat de service/ Bulletin d’adhésion

5. Réception des supports contractuels par la CAF 6. Vérification de la conformité des documents Décision Défavorable Favorable Refus ou demande auprès du partenaire des documents manquants Délégataire Dr CAF 7. Création de la convention et du bulletin d’adhésion dans HABPPS Administrateur Caf

8. Vérification de la saisie Décision Défavorable Retour étape 5 Favorable 9. Validation de la saisie 10. Activation des accès à Mon Compte Partenaire

Le rôle du partenaire Partenaire Ø Création des comptes utilisateur par le partenaire Ø Affectation des droits dans le périmètre des accès accordé par la Caf Ø Supervision des droits d’accès aux utilisateurs Ø Suspension voire suppression des droits d’accès aux utilisateurs Administrateur Partenaire Responsable habilitation Partenaire

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Processus de signature de convention (1/2) 1 Co-signe Directeur caisse 2 Convention + annexes papier Partenaire Vérifie la conformité Convention + annexes papier validés Délégataire Dr CAF Procédure interne via le système d’habilitations portail (HABPPS) 3 Saisit dans le système Administrateur Caf Convention créée 4 L’accès du partenaire au portail et aux services est activé Procédure hors outil SI Convention validée Valide la saisie Vérificateur Caf (responsabilité agent comptable)

Processus de signature de convention (2/2) 1 Suite à la demande d’un partenaire, la Caf prépare une convention contenant des annexes, qu’elle envoie à l’organisme partenaire. Les deux parties co-signent la convention. Un délégataire responsable CAF se charge ensuite de vérifier et valider la convention sur le fond ; entre 2 autres, est-ce que les accès donnés au partenaire sont justifiés par rapport à sa finalité. 3 Une fois la convention papier signée et validée, l’administrateur Caf formalise la convention au niveau de l’outil du SI, en saisissant certaines des informations du document papier dans le système. L’action préalable à la saisie de la convention est la création de l’organisme partenaire à partir des informations notées dans la convention papier Le vérificateur est chargé de contrôler la saisie de l’administrateur Caf, en comparant les informations rentrées dans le système avec les informations de la convention papier. En l’absence d’erreur, il valide la convention. Cela permet à l’administrateur Partenaire de débuter la création des utilisateurs de son organisme. 4 Si la convention est validée, les utilisateurs auront accès aux services pour lesquels ils sont habilités.

Précisions sur les identifiants utilisateur • Un utilisateur partenaire a un identifiant unique par rapport à sa profession (et donc son organisme partenaire). • S'il travaille dans un CD et qu'il a accès à plusieurs services Cnaf (traitées par une même convention), il utilisera un seul compte utilisateur. • Par contre si c'est même personne est aussi un bailleur privé, alors elle utilisera un compte utilisateur différent (que celui utilisé dans le cadre de sa profession) pour accéder l'offre bailleur (ex QL Web).

Les Rôles dans le service HABPPS • Administrateur national (ou CNAF) – Gère les Caf, leurs habilitations et leurs agents – Paramètre le déploiement des services au niveau national • Administrateur Caf – Gère les organismes partenaires, leurs groupes et utilisateurs – Formalise et gère les conventions • Vérificateur – Valide ou invalide les conventions formalisées par sa Caf d’affectation • Administrateur partenaire – Représente l’organisme partenaire dans la convention – Est responsable du respect des habilitations conférées • Responsable habilitations Partenaire – Gère les habilitations par délégation, sur un périmètre donné

Délégation de la gestion d’habilitations

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Tableaux de bords de supervision des habilitations • Favoriser la détection de dérives d’utilisation ou d’attaques dans le cadre de la supervision du portail • Tableaux de bord présents à la mise en production V 1 – Liste des utilisateurs actifs ne s’étant pas connectés depuis 6 mois – Liste des utilisateurs actifs ayant effectué le plus d’actions métier depuis 6 mois, pour un service donné • Exemple CDAP : nombre de dossiers consultés – Liste des utilisateurs actifs ayant le plus gelé leur compte depuis 6 mois • Un principe est acté dans le cadre d’une politique de contrôle des accès au portail. – Travaux en cours sur un référentiel PS 144

Supervision HABPPS – TBD « Liste utilisateurs non connectés depuis x mois » Mécanisme d’acquittement Mécanisme d’alerte par mail

Supervision HABPPS – TBD « Analyse des gels de compte »

Supervision HABPPS – TBD « Suivi des actions métier par service » Mécanisme d’acquittement Mécanisme d’alerte par mail

Sommaire 1. 2. 3. 4. 5. 6. 7. Un renforcement de la sécurisation des accès Les concepts clés Les modalités de gestion des accès La démarche de conventionnement Le module Habpps Les principes de contrôle Principe d’authentification

Sécurisation des accès Démarche globale 29

Nouveau paradigme de l’infrastructure sécurité 1. Démarche d’homologation RGS 2. Mise en place d’une solution « multiplateformes » 3. Rationalisation de nos équipements de sécurité ¨ Vers une homologation RGS § Adoption de l’OWASP ¨ Première mise en application avec CDAP § Nouveau référentiel de gestion des habilitations (Hab. PPS)

Politique d’accès ¨ Politique de gestion du mot de passe § Stockage sécurisé § Durée de validité limitée 6 mois § du mot de passe personnel et mot de passe provisoire § Niveau de complexité § Le mot de passe doit comporter entre 24 h 8 à 20 caractères 4 types § Lettre majuscule, lettre minuscule, chiffre, caractère spécial § Gestion d’un historique de mot de passe § profondeur de 3 mots de passe 10 min § Gel de connexion de suite à 5 tentatives de connexion infructueuse ¨ Gestion de la session § Blocage du multi-sessions § Durée maximale d’inactivité 30 min

Sécurisation des accès Processus d’authentification 32

Processus d’authentification Création d’un compte utilisateur Suite à la création du compte utilisateur par l’administrateur, réception de 2 mails – Un pour l’identifiant – Un pour le Mot de passe

Processus d’authentification Première authentification

Processus d’authentification Première authentification (suite) DE MON COMPTE PARTENAIRE à Mon Compte Partenaire à Mon Compte Partenaire

Processus d’authentification Sécurisation du mot du passe 8 36

Processus d’authentification Fonctionnalité « mot de passe oublié »

les nouveaux accès pour les Conseils Départementaux

Le service CDAP

Sommaire 1. 2. 3. 4. Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP

Les valeurs ajoutées de CDAP Une rapidité d’accès à l’information Une ergonomie fluide et lisible Une réelle valeur ajoutée Une sécurisation d’accès aux données Un contenu de qualité et utile

Sommaire 1. 2. 3. 4. Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP

La doctrine d’accès au service CDAP A- Les règles fonctionnelles. Le service CDAP permet d’extraire des bases Cristal et de mettre à la disposition des partenaires habilités les données nécessaires à l’exercice de leur mission. Les données seront accessibles dans les rubriques homogènes Dossier/ Droits/ Adresse/ Famille/ Logement/ RSA / Paiement/ Courrier/ Ressources/ Créances/ attestation de paiement. Le partenaire aura un accès différencié aux différentes rubriques en fonction de l’autorisation d’accès attribuée. Dans la limite de l’habilitation accordée et pour l’exercice de leur mission, les utilisateurs désignés par le partenaire consulteront les données mises à disposition. L’accès au service s’effectuera par un identifiant et un mot de passe au travers du Portail Partenaires Sécurisé qui en assure notamment la traçabilité. La consultation d’un dossier se fait à partir du numéro d’allocataire; cet identifiant doit donc être connu du tiers, recueilli lors de la prise de contact de l’allocataire ou par le biais d’un formulaire. Une fiche de synthèse sera mise à disposition avec les données clés sur le dossier allocataire

La doctrine d’accès au service CDAP B - La démarche auprès de la CNIL. La communication de données à caractère personnel constitue un traitement au sens de la loi n° 7817 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. L’application CDAP est donc soumise aux obligations de ladite loi. L’application sera encadrée par les dispositions d’un acte réglementaire « Portail Partenaires » pris par la Cnaf et publié (sur www. caf. fr). Une demande sera déposée en ce sens auprès de la CNIL début 2016 et englobera le portail Partenaires, le dispositif gestion des habilitations sécurisées et le premier service livré. C - Les engagements du partenaire. Une convention globale en cours d’élaboration encadrera les accès au bouquet de services mis à disposition sur le portail Partenaires en fixant les conditions de mise à disposition du service et mentionnera pour le tiers les engagements.

La doctrine d’accès au service CDAP D - Des accès aux données différenciés par nature de partenaire (transposition des profils T 1 à T 5)* • Une autorisation d’accès « Assistant de service social – CESF » est prévue pour : ü les assistants de service social des Caisses d’assurance retraite et de la santé (Carsat) et de Mutualité sociale agricole, ü les services de la Caisse nationale d’assurance vieillesse (Cnav) qui assurent le rôle d’une Carsat pour les départements d’Ile-de-France, ü les assistants de service social des services hospitaliers, quelle que soit leur nature juridique (Cliniques, les établissements médico-sociaux…) ü les travailleurs sociaux des CCAS (éducateurs spécialisés et CESF) * En cours de stabilisation

La doctrine d’accès au service CDAP D - Des accès aux données différenciés par nature de partenaire (transposition des profils T 1 à T 5 - suite) • • Une autorisation d’accès est prévue pour « Prestataires de services sociaux bénéficiaires de crédits d’action sociale Caf » . Une autorisation d’accès est prévue pour : ü les organismes instructeurs du Rsa (accès après vérification du numéro instructeur), ü les agents sous la responsabilité du président du Conseil Départemental (PCD), ou l’Agence départementale d’insertion dans les DOM, chargés du suivi des dossiers Rsa,

La doctrine d’accès au service CDAP Proposition Assistants de service social – CESF - Prestataires de services sociaux bénéficiaires de crédits d’action sociale Caf Organismes instructeurs du Rsa et CPAM 1/ Dossier 2/ Droits 3/ Adresse 4/ Famille X X X X 5/ Logement X 6/ RSA X X 7/ Paiement X 8/Courrier X 9/Ressources X X 10/ Créances X 11/ Attestation de paiement X QF CNAF X Enfants X Rubriques homogènes Descriptif des accès attribués aux partenaires Données complémentaires

Sommaire 1. 2. 3. 4. Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP

Sommaire 1. 2. 3. 4. Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP

Gestion de la transition CDAP reprendra in extenso les fonctionnalités de Cafpro en les améliorant. Les accès pour les différents profils existants à ce jour dans Cafpro seront ouverts progressivement dans le service CDAP. • Le lot 1 de CDAP sera livré mi-juillet 2016. Les profils utilisateurs T 1 à T 5 (Cafpro) devront basculer dans CDAP d'ici au 31/12/2016. Les autres profils T 6 à T 16 seront livrés au cours de l'année 2017. • Chaque organisme devra assurer la montée en charge du portail et du service CDAP dans les délais impartis. Le temps de la bascule Cafpro /CDAP, les accès à l’outil Cafpro seront maintenus pour les profils concernés pour faciliter la gestion de cette phase transitoire. • Dès fin juin, deux nouveaux profils d’accès seront à disposition des Cafs. Ceux-ci sont destinés aux services contentieux et aux services de contrôle des Conseils Départementaux dans le cadre du développement des partenariats locaux.

Sommaire 1. 2. 3. 4. Les valeurs ajoutées de CDAP La doctrine d’accès au service La gestion de la période transitoire CAFPRO/CDAP Les écrans CDAP

CDAP – Page de bienvenue (espace authentifié) Message en lien avec la sécurisation des accès Message de présentation sommaire du portail *Présentation non stabilisée

CDAP – Fiche de synthèse Centralise les informations importantes différentes rubriques sur une seule page S’adapte à l’habilitation de l’utilisateur Exemple sur un rôle de type T 5 (chargés de suivi des dossiers RSA) *Présentation non stabilisée

CDAP – Affichage par période Permet une recherche simplifiée d’information sur des périodes Utilisation de calendrier Exemple sur la rubrique Droits *Présentation non stabilisée

CDAP – Consolidation de données sur une page Centralise les données recherchées sur une page Permet d’avoir une navigation plus efficace Exemple sur la rubrique « Ressources » avec le regroupement des ressources annuelles et trimestrielles *Présentation non stabilisée

Supervision CDAP - TBD « Evolution du nombre d’habilitations » Permet de suivre l’évolution de nombre d’habilitations sur les profils CDAP Recherche par organisme partenaire Recherche par rôle utilisateur Recherche par période Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf) ; au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée

Supervision CDAP - TBD « Niveau de consultation des rubriques métier » Permet de mesurer l’utilisation des rubriques Recherche par profil Recherche par période Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf); au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée

Supervision CDAP - TBD « Statistiques d’un organisme partenaire » Liste des indicateurs clés de suivi d’un organisme partenaire Tableau de bord disponible : au niveau National (pour l’administrateur Cnaf); au niveau local (pour l’’administrateur Caf); au niveau partenaire (pour l’administrateur Partenaire) *Présentation non stabilisée