La Caisse nationale d’assurance maladie (Cnam) monte au créneau sur les infrastructures à clés publiques (ICP, ou PKI pour Public Key Infrastructure). Convaincue de l’importance de cette technologie comme vecteur de modernisation, sa direction de la maîtrise d’ouvrage a, ces dernières semaines, multiplié les initiatives. La première salve a été tirée à la fin du mois de janvier, lors d’une réunion initiée par la Cnam, à laquelle participaient les principales caisses de sécurité sociale. A l’ordre du jour : la démonstration d’un outil de calcul du coût de déploiement d’une ICP auprès de plusieurs millions de porteurs. Pour Christophe Madika, directeur de la maîtrise d’ouvrage à la Cnam, il s’agit d’“apporter des éléments d’information aux décideurs, car l’ICP est un choix technique lourd, dont toutes les incidences doivent être évaluées”. Claude Sapin, du ministère des Finances, ainsi que des représentants de la DCSSI (Direction centrale de la sécurité des systèmes d’information) étaient conviés afin d’associer l’Etat à cette interpellation.
La carte Vitale évolue doucement vers les ICP
La Cnam tire parti de sa réelle légitimité technologique. Comme le rappelle le directeur informatique de la Cnav (Caisse nationale d’assurance vieillesse), Alain Poussereau, elle est la seule, parmi les organisations professionnelles de la santé, à jouir d’une expérience technique sur les grands projets de sécurité. Elle s’est, en effet, déjà frottée de près à la mise en ?”uvre probante d’une ICP : la carte CPS (Carte des professionnels de la santé), qu’elle finance, par ailleurs, à hauteur de 90 %. Déployée à plus de trois cent mille exemplaires, cette carte utilise des clés asymétriques pour l’authentification et la signature. Et elle aborde le cap des services de confidentialité. Mais, pour Christophe Madika, à l’opposé de ce contexte de communauté fermée, la prochaine étape du basculement d’une ICP vers un monde ouvert sera autrement plus difficile. Les quelque quarante millions de cartes Sesam-Vitale semblent entrer ainsi au c?”ur du débat. Du côté du GIE Sesam-Vitale, par exemple. “Il est évident que, pour s’orienter vers les standards, il va falloir aller dans la direction des ICP”, admet son directeur technique, Francis Siegwald. Il révèle aussi que, à ce titre, “plusieurs applications ont déjà été évaluées, ainsi que des jeux de tests pour des lecteurs compatibles au standard EMV”. Mais il s’interroge, dans le même temps, sur l’utilité d’un tel bond en avant technologique. A la Cnam, à laquelle revient la maîtrise d’ouvrage de Sesam-Vitale, on regrette le fait qu’“aucun des fournisseurs ou des opérateurs d’ICP sondés n’ait été capable de s’engager sur un déploiement supérieur à dix millions de certificats”. En attendant, on rappelle aussi que la carte Vitale est actuellement sécurisée par l’emploi combiné de son alter ego, la carte CPS.
Des résistances au projet du GIP-MDS
Il n’empêche : la carte Vitale devra intégrer des applications complémentaires, comme le dossier médical de l’assuré social. Cette évolution, qui fait l’objet d’un projet de loi débattu devant l’Assemblée nationale, impose de nouvelles contraintes : “Le partage des données entre la carte de l’assuré social et les serveurs des caisses, ainsi que l’émergence de plates-formes de renseignements sur internet nécessitent un besoin d’authentification à base de clés asymétriques”, reconnaît Christophe Madika. Et, déjà, la personnalisation de Sesam-Vitale avance à grand pas. Depuis l’été dernier, des cartes à profil personnel sont émises ?” pour la catégorie des seize ans et plus, par exemple. Reste que, dans sa configuration actuelle, la carte Vitale se limite à des fonctions de consultation de données administratives. En effet, la plupart d’entre elles ne sont pas liées à un porteur, mais au numéro de sécurité sociale d’une famille, que chaque membre utilise indifféremment.Dans l’immédiat, la Cnam épaule surtout le projet GIP-MDS (Modernisation des déclarations sociales), dont il est l’un des fondateurs. Ce troisième grand chantier vise la sécurisation des déclarations sociales, qui représente pas moins de cent trente millions de formulaires échangés chaque année avec les entreprises. Le directeur général du GIP-MDS, Jacques Sauret, supervise depuis l’été 2000 des travaux sur une ICP accompagnée d’un déploiement national d’autorités d’enregistrement. Mais il se heurte à la résistance de certaines caisses, dont la Cnav. Aujourd’hui, cette dernière héberge une application d’authentification par mot de passe pour le compte du site net-entreprises du GIP-MDS. Et elle exploite aussi une base de données de cent millions de Français ?” vivants et décédés ?”, qui sert à identifier en amont les porteurs de carte Vitale.Plutôt réservé sur l’avènement d’une ICP, Alain Poussereau pointe le fait que “le gouvernement n’a toujours pas pris de décision”. Or, la complexité des ICP et les investissements nécessaires exigent une prise de position claire des pouvoirs publics. Au risque de contribuer à une balkanisation du marché. Comme en témoigne déjà la multiplication, dans l’Administration, de projets d’infrastructures de sécurité, qui par manque de coordination, ne portent par leurs fruits ?” TéléTVA, TéléIR, Carte citoyenne, etc. “En raison des coûts, il n’est pas possible de financer la multiplication ad vitam aeternam d’infrastructures de cartes à puce à signature électronique”, soutient Jacques Sauret. Une conviction partagée par Gilles Johanet, récemment limogé de son poste de directeur général de la Cnam pour s’être opposé à la politique de maîtrise des coûts de santé de son ministère de tutelle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
