Rechercher

Carte d’assuré: philosophie et mise en oeuvre

La carte d'assuré électronique pour l'assurance obligatoire des soins, qui sera introduite au cours de 2009, résulte d'une approche pragmatique. Les coûts d'introduction et d'utilisation seront minimisés dans la mesure du possible, tout en garantissant un niveau élevé de fiabilité et de sécurité. Dans ces conditions, le recours à un système intégré, comme la carte de santé allemande, s'est avéré contre-productif. Le présent article présente les aspects techniques et les modalités d'utilisation de la carte d'assuré du point de vue de l'entreprise chargée de la mettre en oeuvre.

Carte d'assuré: philosophie et mise en oeuvre

 

La société Gematik, fondée en Allemagne en 2004, s’est attelée à l’élaboration d’une réglementation touffue en vue de l’introduction de la nouvelle carte de santé électronique allemande. Suite à cela, l’Office fédéral de la santé publique (OFSP) s’est penché sur la création d’une carte d’assuré électronique, dont le contenu et l’utilisation ont été définis par l’ordonnance du 14 février 2007 sur la carte d’assuré pour l’assurance obligatoire des soins (OCA). Pour que le texte soit mis en oeuvre et que la carte à puce soit introduite le plus rapidement possible, l’OFSP a chargé en avril 2007 la société Arpage AG L’entreprise Arpage AG est entre autres le fournisseur technologique de Health Info Net AG, qui gère depuis 1996 une plate-forme Extranet électronique sécurisée du système de santé et qui compte déjà 11 000 médecins et 110 hôpitaux. d’élaborer une norme technique en collaboration avec un groupe spécialisé de l’association eCH. Cette norme a déjà pu être approuvée au début de février 2008 eCH0064 «Spécifications du système de la carte d’assuré». . La carte d’assuré servira aussi de catalyseur dans l’évolution future du système de santé.

La complexité technique des systèmes d’exploitation sécurisés


Contrairement à la carte d’assuré actuelle, la carte électronique comporte une petite mémoire, un microprocesseur, une interface de communication électronique et un système d’exploitation. La complexité technique de pareils systèmes sécurisés est relativement élevée.   Les cartes à puce ont un microprocesseur permettant d’accéder aux données mémorisées, mais il est souvent impossible de les lire directement. Le détour par le microprocesseur permet en effet de se protéger des intrusions grâce à des procédés cryptographiques. Les cartes à puce peuvent non seulement servir de support sécurisé d’informations et de clés, mais offrir aussi des services de sécurité pour l’authentification, l’encodage/décodage, la signature, la vérification de certificat, etc. Comme les clés privées sauvegardées sur la carte à puce sont inaccessibles, il est impossible de les percer. Une telle carte offre donc un niveau de sécurité très élevé lorsqu’il s’agit de produire une signature, décoder un objet de données soumis à autorisation ou vérifier un certificat.   La procédure « public key » utilisée ici (voir graphique 1 ) se base sur deux clés, l’une publique (lisible), l’autre privée (secrète et illisible), l’une dérivant de l’autre. Dans une bonne procédure, dite asymétrique, il est cependant impossible de calculer une clé à partir de l’autre. Si l’on veut transmettre un message secret, on l’encode avec la clé publique du destinataire; seul celui-ci pourra alors le décoder sur la carte à puce avec sa clé privée secrète. Ce système peut aussi être utilisé pour une identification univoque; la clé privée secrète sauvegardée sur la carte à puce sert d’identificateur De nos jours, on utilise fréquemment les algorithmes suivants: RSA, ElGamal, courbes elliptiques (ECC). .

Fonction clé des identificateurs


La carte d’assuré est émise par les com-pagnies d’assurance et contient des données administratives lisibles, non modifiables, sur l’assuré, l’assureur et le type d’assurance. Sont également mémorisés de façon lisible et non modifiable le numéro univoque d’identification de la carte et le numéro AVS de l’assuré. Ces deux numéros peu-vent être utilisés pour former des identificateurs.   Les identificateurs ont leur propre cycle de vie. Ainsi, le numéro d’identification de la carte d’assuré est lié à sa durée de validité; si la compagnie d’assurance doit émettre une nouvelle carte pour l’assuré du fait de modifications des données administratives, celle-ci portera un nouveau numéro d’identification univoque, alors que le numéro AVS de l’assuré restera inchangé. Le cycle de vie du numéro d’identification est, en effet, lié à la carte et dépend de sa validité, alors que le numéro AVS suit l’assuré tout au cours de sa vie – qu’on lui souhaite aussi longue que possible! Deux paires de clés privées sont sauvegardées sur la carte d’assuré; elles comprennent chacune une clé privée secrète, illisible, mais utilisable en cryptographie; ces deux clés privées et les clés publiques correspondantes forment ainsi deux autres identificateurs, dotés de cycles de vie analogues.   Du point de vue de la sécurité, ces clés «s’usent», en fonction de leur longueur dans une procédure «public key». Servant d’identificateurs, elles connaissent donc un cycle de vie beaucoup plus court que le numéro AVS de l’assuré, par exemple, raison pour laquelle ce cycle est lié à la durée de validité de la carte. En télésanté (voir encadré 1 Par télésanté, on entend le recours aux technologies de l’information et de la communication (TIC) pour diminuer les charges administratives, échanger et accéder en toute sécurité à des ressources et à des données, ou encore simplifier et améliorer efficacement les processus du système de santé grâce aux moyens électroniques. Ce secteur très hétérogène associe pour l’essentiel les fournisseurs de prestations (médecins, thérapeutes, hôpitaux, etc.), les agents payeurs (assurés, assureurs et cantons), les fournisseurs de services TIC et de biens d’investissement, enfin l’industrie pharmaceutique. ), de nombreux processus et ressources peuvent être référencés de façon univoque par un identificateur particulier. Des projets de systèmes électroniques intégrés ambitionnent de sauvegarder sur une carte de santé ces identificateurs de processus et de ressources, sous forme de paires de clés, chacune avec son propre cycle de vie. À notre avis, les charges administratives et les coûts de gestion de telles cartes prendraient rapidement l’ascenseur (rappel des cartes suite à des modifications de processus et de ressources, ainsi que de leur cycle de vie).

Principes pour réduire les charges et les coûts


Pour minimiser le plus possible les charges et coûts de la carte d’assuré, nous avons défini les principes suivants:   1. Limiter autant que possible le nombre de paires de clés (deux suffisent parfaitement).   2. Utiliser seulement des paires de clés dont les cycles de vie sont en relation (cohérence).   3. Dans la télésanté, limiter autant que possible le nombre de supports d’identificateurs (cartes à puce); une carte servant à identifier électroniquement l’assuré couvre une grande partie des besoins.     La mise en oeuvre technique de la carte d’assuré exigée par l’OCA est définie dans la norme eCH0064, mais les fonctions élargies pouvant être utilisées dans les «essais pilotes cantonaux» n’y sont pas définies spécifiquement.   Pour résumer, nous sommes d’avis que la carte d’assuré disponible suffit entièrement aux besoins de la télésanté. Nous ne jugeons pas nécessaire de la perfectionner pour en faire une carte électronique de santé.

Perspectives


Arpage AG soutient Santésuisse et les émetteurs de la carte HPC (fournisseurs de prestations) quant à la mise en oeuvre. L’élaboration des spécifications détaillées, très techniques, de la carte d’assuré et des spécifications de communication pour l’authentification de carte à carte est en cours et devrait être terminée à fin novembre 2008. Les premières cartes tests seront sans doute disponibles fin 2008, si bien que la carte d’assuré pourra être introduite début 2009.

Graphique 1 «Procédure «public key» de la carte d’assuré électronique (CA)»

Encadré 1: Définition de la télésanté Par télésanté, on entend le recours aux technologies de l’information et de la communication (TIC) pour diminuer les charges administratives, échanger et accéder en toute sécurité à des ressources et à des données, ou encore simplifier et améliorer efficacement les processus du système de santé grâce aux moyens électroniques. Ce secteur très hétérogène associe pour l’essentiel les fournisseurs de prestations (médecins, thérapeutes, hôpitaux, etc.), les agents payeurs (assurés, assureurs et cantons), les fournisseurs de services TIC et de biens d’investissement, enfin l’industrie pharmaceutique.

Encadré 2: Conteneurs de données et fonctions de la carte d’assuré Les données administratives: elles peuvent être lues publiquement sur la carte à puce de l’assuré, sans accès protégé. Elles comprennent des indications sur l’assuré et son assurance, ainsi que des identificateurs comme le numéro d’identification de la carte et le numéro AVS de l’assuré. Les données d’urgence: l’accès à ces données est limité par une procédure d’authentification dite de carte à carte, c’est-à-dire nécessitant une carte à puce valable de fournisseur de prestations (HPC), si bien que seuls ceux autorisés et intervenant dans des rôles spécifiques ont accès à ces données. Il est également possible d’enregistrer des indications sur des personnes et des ressources techniques (entités). La paire de clés pour la procédure de signature: elle sert exclusivement à la procédure de signature, utilisée pour l’authentification de carte à carte et pour l’authentification donnant accès à des ressources électroniques. Sont mises à disposition d’une part la procédure de signature sécurisée et peu gourmande en mémoire ISO/IEC 9796-2 DS1, qui permet aussi des vérifications autonomes de certificats sur la carte à puce même, de l’autre la procédure populaire PKCS#1 version 1.5, telle qu’elle est appliquée pour les authentifications par liaison codée avec http par SSL/TLS. Les conteneurs de données destinés à sauvegarder des certificats ont également été prévus sur la carte d’assuré (X.509, CVC). Grâce à des procédures novatrices et à des technologies intelligentes, les fournisseurs de services de télésanté peuvent administrer les certificats et identificateurs à des coûts minimes. La carte d’assuré, qui comporte les identificateurs de l’assuré, permet ainsi un accès fortement sécurisé à une grande diversité de ressources et de services, comme les cyberdossiers des patients, les systèmes d’information hospitaliers (KIS), les prestations des assureurs, etc. La paire de clés pour les procédures d’autorisation: le fait que la carte d’assuré dispose d’une fonction permettant de décoder, à l’aide de leur clé privée secrète et illisible, un objet de données transmissible encodé par un demandeur avec leur clé publique garantit une autorisation forte. On peut ainsi établir des procédures d’attribution concernant les ordonnances informatisées, la libération électronique de dossiers de patients pour transmission à d’autres fournisseurs de prestations, etc. En ce qui concerne l’accès aux fonctions et données, la nouvelle carte d’assuré supporte entièrement les normes internationales comme ISO/IEC 7816, PKCS#11, ainsi que la norme PC/SC sur les lecteurs courants.

Proposition de citation: Peter Stadlin (2008). Carte d’assuré: philosophie et mise en oeuvre. La Vie économique, 01. décembre.