8 000 cartes certifiées au CHRU de Lille

06/07/2007 à 07h00

Le département informatique du centre hospitalier a mis au point une carte multi-application à l'attention de son personnel. Inédit : elle embarque un certificat CPS.

' Tout est parti de la carte de parking ', explique Alexis Grzes, directeur technique des systèmes d'information. En début 2005, son département établit plusieurs constats. D'abord, la carte d'accès au parking, vieille de cinq ans, arrive à obsolescence. Elle est équipée d'une pile d'une durée de vie de sept ans, impossible à remplacer. Il devient impératif de changer la carte, une opération très onéreuse. Ensuite, l'établissement projette la mise en place d'un système de paiement par carte pour les restaurants du personnel, ainsi que le renforcement des contrôles d'accès aux locaux techniques, informatiques, et unités de soins. A la même époque enfin, le CHRU doit se préparer à la mise en conformité avec les décrets de confidentialité réglementant la sécurité des systèmes d'information (le dernier en date étant celui du 15 mai 2007). Lesquels décrets exigeront, d'ici à deux ans, un certificat CPS (carte de professionnel de santé) pour accéder aux données médicales. Le CHRU de Lille, comme tous les établissements hospitaliers, est soumis aux objectifs du plan Hôpital 2012 de modernisation des systèmes d'information de santé. Il se lance donc dans un projet ambitieux, qui nécessite près d'un an et demi de réflexion et un budget de 1 million d'euros. Il sera le premier établissement à diffuser, en début 2008, une carte à puce multi-usage, embarquant un certificat CPS.

Le choix d'une carte unique

Un comité de pilotage se crée donc. Pour répondre à des demandes d'utilisateurs un peu réticents à l'idée de devoir porter sur eux plusieurs cartes, mais aussi pour centraliser la gestion de ces divers supports, la décision est prise de développer une carte unique pour tous les usages de l'établissement. Le CHRU veut être complètement autonome dans la production et la diffusion de sa carte. L'idée est de la réaliser sur place, en présence de l'utilisateur, et de la lui remettre en mains propres. Sur les 13 000 cartes prévues, 8 000 sont destinées aux professionnels de santé (médecins, infirmières, aides-soignants, etc.). Sachant que le certificat CPS n'est délivré par le GIP-CPS (groupement d'intérêt public ?" carte de professionnel de santé) que sur une carte indépendante, le CHRU et le GIP travaillent sur un processus plus souple, en phase avec la carte unique. Le certificat devra être intégré sur la carte de l'établissement.Mais ce processus devra aussi s'opérer in situ, sans envoi de la carte au GIP. Ce dernier va mettre à disposition du CHRU un système de délivrance de certificats à distance. La carte sera donc équipée d'une puce IAS (identification, authentification, signature), qui, au moment de sa création, récupérera directement depuis le GIP le certificat destiné à la concevoir. Cette opération se réalisera via un middleware IAS propriétaire, relié à l'annuaire de l'établissement. Ici, Active Directory de Microsoft.Si, à ce jour, le parking, la cantine, et les processus d'authentification logiques et physiques sont les priorités, la carte unique devra permettre à tout moment l'ajout de nouvelles applications. Il est, par exemple, prévu de l'utiliser pour des badges horaires ou l'accès aux ascenseurs et aux vestiaires.

Des processus d'authentification plus souples

Tout incorporer dans une seule carte est pertinent. Mais il faut aussi réfléchir à son ergonomie. Les processus d'authentification forte ont donc subi quelques exceptions. Prenons l'exemple d'un médecin quittant son bureau pour se rendre en salle d'opération. Authentifié fortement sur son poste de travail, il ferme sa session en retirant la carte du lecteur. Lorsqu'il arrive au bloc opératoire, il ouvre la porte par la fonction sans contact de la carte. Entré dans l'unité de soins, il doit insérer sa carte pour accéder au dossier du patient qu'il va opérer. Mais cette fois, lorsqu'il la retire, la session ne se ferme pas. Elle ne fait que se verrouiller. Pour la déverrouiller, il utilisera ?" et dans ce seul cas de figure ?" la fonction sans contact. D'autres exceptions de ce genre sont envisageables. ' Elles se réaliseront au fil de l'avancement du projet ', nous confirme Jacques Pantin, directeur de Dictao, partenaire en charge du déploiement, planifié sur deux ans. Première échéance fixée à la fin 2007 : la remise des 13 000 cartes équipées de la fonction parking.redaction@01informatique.presse.fr

Alexis Grzes (CHRU de Lille) : ' nous tenions à être indépendants du fabricant '

Pourquoi avoir choisi une puce IAS, et non une puce constructeur ?
Alexis Grzes : nous voulions une norme standard. Pour nous affranchir du middleware constructeur mais aussi pour nous aligner sur la norme IAS (identification, authentification, signature), celle des futures cartes de l'administration française, de la carte Vitale 2, et de la prochaine CPS. Le middleware est fourni gratuitement par le GIP-CPS, avec lequel nous collaborons. Au début de ce projet, le GIP entamait aussi une politique de publication de certificats. Les décrets de confidentialité exigent la mise en place de règles draconiennes de sécurité concernant l'accès aux données médicales internes, mais aussi externes avec l'arrivée du dossier médical personnel. La prochaine CPS sera très semblable à celle que nous réalisons.

Comment procéderez-vous pour distribuer la carte ?
AG : dans un premier temps, nous distribuerons l'intégralité des cartes d'établissement avec l'accès parking début 2008 au plus tard. Suivra, quelques mois après, le contrôle d'accès des restaurants du personnel. Pour la CPS, nous nous mettrons dès que possible en situation sur les sites pilotes. Le déploiement est prévu pour s'effectuer en parallèle de la migration vers une nouvelle application médicale. Cette opération s'étalera sur 18 mois.

La CPS sera-t-elle bien accueillie ?
AG : jusqu'ici, le plus compliqué était d'obtenir la carte. Cela pouvait prendre du temps. Avec ce système de publication de certificat, le futur détenteur recevra sa carte en mains propres dans létablissement où il travaille.

Stéphane Bellec

Votre opinion