Thème

Renouveler un credential

Objectif

Remplacer la clé ou le secret d'un credential sans interrompre le service. Utile en rotation planifiée (annuelle), au départ d'un collaborateur ayant eu accès aux clés, ou en urgence (suspicion de compromission).

Durée estimée : 3 minutes • Rôle requis : organization-manager (inclus dans ORG_ADMINS)

Quand renouveler ?

SituationUrgence
Rotation planifiée annuelleFaible
Départ d'une personne ayant eu accès aux clésMoyenne
Suspicion de fuite (clé exposée dans un log, e-mail mal adressé…)Haute
Expiration d'un certificat sous-jacentFaible

Bonne pratique

Renouvelez chaque credential au moins une fois par an et notez la date dans le libellé (ex. OAuth Adjudication — rotated 2026-04).

Étape 1 — Ouvrir Credentials

Menu Suivi des activités ▸ Credentials.

Credentials configurés

Vos credentials sont affichés sous forme de cartes, regroupés par type (filtres rapides Tous / REST / SFTP).

Étape 2 — Identifier le credential à renouveler

Repérez la carte du credential concerné par son libellé. Les filtres et la barre de recherche peuvent aider si la liste est longue.

Étape 3 — Vérifier les services qui en dépendent

Avant de renouveler, mesurez l'impact :

  1. Menu Suivi des activités ▸ Services.
  2. Cherchez la colonne Credential et identifiez les services qui utilisent celui que vous allez renouveler.
  3. Notez les services concernés (souvent 1 à 3, parfois plus).

Étape 4 — Lancer la rotation

Sur la carte du credential, trois actions :

IcôneAction
🖊️ bleuModifier les champs non sensibles (libellé).
🔄 rougeRotation — régénère la valeur secrète.
🗑️ rougeSupprimer — irréversible.

Cliquez sur l'icône 🔄 Rotation.

Selon le mode de provisionnement

  • SYSTEM_PROVIDED (la plateforme génère) : la nouvelle valeur s'affiche une seule fois dans un volet. Téléchargez-la ou copiez-la immédiatement.
  • SELF_PROVIDED (vous fournissez) : un formulaire s'ouvre pour saisir la nouvelle clé (nouvel apiKey, clientSecret, clé publique…).

Étape 5 — Communiquer la nouvelle clé si besoin

  • SYSTEM_PROVIDED + flux entrant ASACI : votre système doit être mis à jour avec la nouvelle clé pour continuer à appeler la plateforme. Transmettez-la à votre équipe technique via un canal sécurisé (gestionnaire de mots de passe, jamais en clair dans un e-mail).
  • SELF_PROVIDED + flux sortant ASACI : c'est vous qui avez fourni la nouvelle clé — la plateforme l'utilise désormais pour appeler votre système. Pas de communication externe nécessaire.

Étape 6 — Vérifier que les flux continuent

  1. Menu Suivi des activités ▸ Transmissions.
  2. Filtrez sur la période depuis la rotation.
  3. Vérifiez qu'une nouvelle transmission apparaît avec un statut SUCCESS.

En cas d'échec, les statuts caractéristiques d'un mauvais credential sont :

  • DENIED — clé refusée.
  • PARTNER_ERROR avec un code 401/403 — authentification rejetée.

Si vous voyez ces statuts, vérifiez :

  1. Que vous avez bien copié la nouvelle valeur complète (sans espace ajouté).
  2. Que votre équipe technique a bien mis à jour votre système (mode SYSTEM_PROVIDED).

Étape 7 — Confirmer dans la piste d'audit

Menu Suivi des activités ▸ Pistes d'audit, filtrez sur :

  • Événement : partner.credentials_updated
  • Acteur : votre adresse e-mail
  • Période : Aujourd'hui

Le détail confirme l'opération sans exposer la valeur secrète (c'est normal).

Checklist de fin de parcours

  • [ ] La carte du credential affiche une date de modification récente.
  • [ ] Une transmission SUCCESS est apparue après la rotation.
  • [ ] L'événement partner.credentials_updated est dans l'audit.
  • [ ] L'ancienne valeur a été détruite des emplacements où vous la stockiez.

Points d'attention

  • La valeur secrète n'est affichée qu'une seule fois en mode SYSTEM_PROVIDED. Si vous la perdez, refaites une rotation.
  • Ne supprimez pas (🗑️) au lieu de renouveler (🔄). La suppression rompt immédiatement tous les services qui dépendent de ce credential.
  • Une rotation ne propage pas la nouvelle clé chez vos partenaires : c'est à vous de leur fournir si applicable.
  • En cas de compromission avérée, enchaînez : rotation immédiate → revue de la piste d'audit sur 24 h → notification au support sécurité.

Documentation ASACI Santé Connect

Copyright © 2026 ASACI