La carte CPS aux Hôpitaux Universitaires de Strasbourg (HUS), retour d’expérience et perspectives

Régions | 09 sept. 2010
Les systèmes d’informations hospitaliers (SIH) prennent une dimension de plus en plus importante dans les établissements de santé avec notamment l’informatisation de la production de soins, l’ouverture des SIH vers l’extérieur (alimentation du DMP, échanges avec la médecine de ville, télémédecine, …) et la criticité des données traitées et échangées.
Logo Hôpitaux universitaires de StrasbourgLa sécurisation des SIH et des données gérées est devenue une contrainte majeure des établissements. C’est dans ce contexte que très tôt les Hôpitaux Universitaires de Strasbourg (HUS) ont mis en œuvre une solution fiable et globale s’adressant à tous ses utilisateurs qui repose sur l’utilisation de la carte CPS.

Sous l’impulsion du Département d’Informatique Médicale (DIM) qui a rapidement pris conscience des risques et d’un appui technique de la Direction des Systèmes d’Information (DSI), le projet bénéficiait de deux services moteurs lui permettant de se concrétiser et de bénéficier des leviers techniques et organisationnels nécessaires au déploiement de la carte CPS dans les services. Ce déploiement a d’ailleurs été réalisé progressivement service par service afin de permettre une bonne appropriation de l’outil à travers un suivi quasi individualisé des agents.

Parmi les objectifs, on distingue bien évidemment l’identification individuelle et nominative des utilisateurs associée à une authentification forte mais également une ergonomie travaillée pour faciliter aux utilisateurs l’accès à ces outils, éléments importants pour la gestion du changement et l’acceptation de l’outil. Le SSO permet ainsi l’accès via l’Intranet des HUS aux principales applications du SIH et le délai de changement d’utilisateur sur un poste partagé a fait l’objet de travaux poussés. Ce laps de temps est de 8’’ dans un contexte ou un temps d’attente prolongé d’une ouverture de session ne serait guère acceptable.

D’autres fonctions de sécurité ont également été développées comme la sécurisation des sessions des utilisateurs grâce à un verrouillage automatique au retrait de la carte ou après un délai d’inactivité.

Dans un souci de ne jamais porter atteinte à la qualité des soins à cause d’outils de sécurité trop contraignants, il a également été implanté un mécanisme de bris de glace permettant à un professionnel de santé qui n’a pas les habilitations nécessaires mais qui a besoin d’accéder aux données médicales d’un patient de s’approprier pour un temps limité les droits d’accès. Dans ce cas, les actions sont automatiquement tracées et les journaux audités.

Plusieurs années après la fin du déploiement des cartes, le retour est globalement très positif puisque ce projet a permis de développer une culture sécurité au sein de l’établissement favorisant la mise en oeuvre d’une stratégie de sécurité globale et de gestion des risques liés au SIH. La fonction RSSI a ainsi pu être instaurée et plus récemment un audit global a été réalisé aboutissant à la formalisation d’une politique de sécurité et d’un Système de Management de la Sécurité du SIH piloté par le RSSI.

La carte CPS est globalement bien perçue comme un outil de sécurité permettant le changement progressif des habitudes et de responsabiliser les utilisateurs. Son acceptation ne fait plus aucun doute comme en témoigne les chiffres issus d’une enquête de satisfaction sur le SIH menée en 2009 : 
  • Percevez-vous les règles de sécurité informatique comme une contrainte à votre activité ? Non à 90,35 %
  • Quelle note de satisfaction sur 10 donneriez-vous à l’authentification au SI par carte CPS ? 8.3/10
  • Quelle note de satisfaction sur 10 donneriez-vous à la gestion des droits d’accès aux applications ? 7.77/10

Fort de ces acquis, les HUS souhaitent à présent poursuivre ce projet et proposer à ses utilisateurs de nouveaux services reposants sur les fonctionnalités de la CPS 3 comme la fonction sans contact, fortement souhaité par quelques services et présentant des avantages certains en terme de confort d’utilisation et de rapidité d’accès au SI. Ces fonctionnalités sont particulièrement intéressantes dans des contextes ou l’ouverture et la fermeture de sessions sont très fréquentes comme c’est le cas aux urgences.

Les HUS souhaitent également par ce nouveau projet, renouveler leur serveur d’authentification qui pilote l’utilisation des cartes, de conception supérieure à 10 ans et non évolutif. Tout en reprenant les fonctionnalités existantes, le projet visera aussi à augmenter le niveau de sécurité avec par exemple une meilleure gestion de la traçabilité des usages cartes ou la mise en œuvre de procédures dégradées en cas d’oubli/vol de carte plus adaptées au contexte des SIH.

Chiffres clés :
  • 2800 postes équipés de lecteur de carte CPS dont 614 postes partagés
  • 11 033 cartes CPS déployées (CDE : 1 ; CPS : 4385 ; CPE : 6271 ; CPF : 376)
  • SSO sur les 30 principales applications du SIH
Germain ZIMMERLE - Directeur des systèmes d’information, Hôpitaux Universitaires de Strasbourg
Fabrice STALTER - Responsable Sécurité du Système d'Information, Hôpitaux Universitaires de Strasbourg


La carte CPS au HUS (reportage réalisé en 2008)