Inscrivez-vous gratuitement à la Newsletter BFM Business
Le département informatique du centre hospitalier a mis au point une carte multi-application à l'attention de son personnel. Inédit : elle embarque un certificat CPS.
' Tout est parti de la carte de parking ', explique Alexis Grzes, directeur technique des systèmes d'information. En début 2005, son département établit plusieurs constats. D'abord, la
carte d'accès au parking, vieille de cinq ans, arrive à obsolescence. Elle est équipée d'une pile d'une durée de vie de sept ans, impossible à remplacer. Il devient impératif de changer la carte, une opération très onéreuse. Ensuite, l'établissement
projette la mise en place d'un système de paiement par carte pour les restaurants du personnel, ainsi que le renforcement des contrôles d'accès aux locaux techniques, informatiques, et unités de soins. A la même époque enfin, le CHRU doit se
préparer à la mise en conformité avec les décrets de confidentialité réglementant la sécurité des systèmes d'information (le dernier en date étant celui du 15 mai 2007). Lesquels décrets exigeront, d'ici à deux ans, un certificat CPS (carte de
professionnel de santé) pour accéder aux données médicales. Le CHRU de Lille, comme tous les établissements hospitaliers, est soumis aux objectifs du plan Hôpital 2012 de modernisation des systèmes d'information de santé. Il se lance donc dans un
projet ambitieux, qui nécessite près d'un an et demi de réflexion et un budget de 1 million d'euros. Il sera le premier établissement à diffuser, en début 2008, une carte à puce multi-usage, embarquant un certificat CPS.
Le choix d'une carte unique
Un comité de pilotage se crée donc. Pour répondre à des demandes d'utilisateurs un peu réticents à l'idée de devoir porter sur eux plusieurs cartes, mais aussi pour centraliser la gestion de ces divers supports, la décision est prise
de développer une carte unique pour tous les usages de l'établissement. Le CHRU veut être complètement autonome dans la production et la diffusion de sa carte. L'idée est de la réaliser sur place, en présence de l'utilisateur, et de la lui remettre
en mains propres. Sur les 13 000 cartes prévues, 8 000 sont destinées aux professionnels de santé (médecins, infirmières, aides-soignants, etc.). Sachant que le certificat CPS n'est délivré par le GIP-CPS (groupement d'intérêt public
?" carte de professionnel de santé) que sur une carte indépendante, le CHRU et le GIP travaillent sur un processus plus souple, en phase avec la carte unique. Le certificat devra être intégré sur la carte de l'établissement.Mais ce processus devra aussi s'opérer in situ, sans envoi de la carte au GIP. Ce dernier va mettre à disposition du CHRU un système de délivrance de certificats à distance. La carte sera donc équipée d'une puce IAS (identification,
authentification, signature), qui, au moment de sa création, récupérera directement depuis le GIP le certificat destiné à la concevoir. Cette opération se réalisera via un middleware IAS propriétaire, relié à l'annuaire de l'établissement. Ici,
Active Directory de Microsoft.Si, à ce jour, le parking, la cantine, et les processus d'authentification logiques et physiques sont les priorités, la carte unique devra permettre à tout moment l'ajout de nouvelles applications. Il est, par exemple, prévu de
l'utiliser pour des badges horaires ou l'accès aux ascenseurs et aux vestiaires.
Des processus d'authentification plus souples
Tout incorporer dans une seule carte est pertinent. Mais il faut aussi réfléchir à son ergonomie. Les processus d'authentification forte ont donc subi quelques exceptions. Prenons l'exemple d'un médecin quittant son bureau pour se
rendre en salle d'opération. Authentifié fortement sur son poste de travail, il ferme sa session en retirant la carte du lecteur. Lorsqu'il arrive au bloc opératoire, il ouvre la porte par la fonction sans contact de la carte. Entré dans l'unité de
soins, il doit insérer sa carte pour accéder au dossier du patient qu'il va opérer. Mais cette fois, lorsqu'il la retire, la session ne se ferme pas. Elle ne fait que se verrouiller. Pour la déverrouiller, il utilisera ?" et dans ce seul cas
de figure ?" la fonction sans contact. D'autres exceptions de ce genre sont envisageables. ' Elles se réaliseront au fil de l'avancement du projet ', nous confirme Jacques Pantin, directeur de
Dictao, partenaire en charge du déploiement, planifié sur deux ans. Première échéance fixée à la fin 2007 : la remise des 13 000 cartes équipées de la fonction parking.redaction@01informatique.presse.fr
Votre opinion