Système d'ordonnances électroniques de Salford

Le système d'ordonnances électroniques décrit dans le document [Policy] est un bon exemple d'infrastructures PKI et PMI appliquées à la télésanté. Compte tenu du grand nombre de professionnels impliqués dans le programme de transmission électronique des ordonnances (ETP, electronic transmission of prescriptions) au Royaume-Uni (34 500 médecins généralistes, 10 000 infirmières délivrant des ordonnances, nombre qui devrait passer à 120 000 au cours des prochaines années, 44 000 pharmaciens agréés et 22 000 dentistes) et des autorisations très peu nombreuses qui sont véritablement requises (c'est-à-dire les divers niveaux de permission concernant la délivrance des ordonnances et des médicaments et l'accès à la gratuité des médicaments), le système de contrôle d'accès en fonction du rôle (RBAC, role-based access control) semble constituer le mécanisme

Applications 37 d'autorisation idéal à utiliser pour le programme ETP. Lorsqu'on prend également en considération le nombre de patients potentiels au Royaume-Uni (60 millions) et le fait que les médicaments obtenus gratuitement représentent 85% des médicaments prescrits [FreePresc], le système RBAC devrait aussi être utilisé pour contrôler l'accès à la gratuité des médicaments si possible. Compte tenu du grand nombre de professionnels qui doivent être autorisés et du grand nombre de patients dont l'accès à la gratuité des médicaments doit être accordé, il est essentiel de répartir la gestion des rôles entre autorités compétentes plutôt que d'essayer de la centraliser, faute de quoi le système deviendrait ingérable.

Chaque professionnel dépend d'un organe officiel qui lui donne le droit d'exercer. Au Royaume-Uni, le General Medical Council est chargé d'enregistrer les médecins et de les radier en cas de faute professionnelle. Le General Dental Council remplit une fonction analogue pour les dentistes, le Nursing and Midwifery Council pour les infirmières et le Royal College of Pharmacy pour les pharmaciens. Dans le système ETP susmentionné, ces organes sont chargés de l'attribution des rôles, puisqu'ils s'acquittent déjà parfaitement bien de cette fonction.

Créé en juin 2001, le ministère du travail et des retraites (DWP, department for work and pensions) a remplacé les anciens ministères de la sécurité sociale et de l'enseignement et de l'emploi. Il est chargé de verser les allocations de chômage et les retraites et, conjointement avec l'autorité de tarification des ordonnances (PPA, prescription pricing authority), de déterminer les bénéficiaires de la gratuité des médicaments. Ces bénéficiaires sont nombreux: personnes de 60 ans et plus, enfants de moins de 16 ans, adolescents de 16, 17 ou 18 ans qui sont scolarisés à temps complet, personnes ou leur conjoint recevant une allocation de soutien du revenu ou une allocation de demandeur d'emploi, personnes titulaires d'un certificat HC2 (low income scheme full help certificate) dans le cadre du système de santé national (NHS, national health system), femmes enceintes, les femmes ayant accouché au cours des 12 derniers mois et personnes recevant une pension d'invalidité de guerre. La gestion de ces bénéficiaires est donc répartie entre différentes branches du DWP et de la PPA.

Un certificat d'attribut de rôle est attribué à chaque professionnel par l'organe dont il dépend et il est enregistré dans l'annuaire LDAP de cet organe. Le système ETP pourra prendre des décisions concernant l'autorisation de délivrer des ordonnances ou des médicaments s'il a accès à ces annuaires LDAP. De même, si le DWP attribue des certificats d'attribut de rôle aux personnes bénéficiant de la gratuité des médicaments pour diverses raisons et qu'il les enregistre dans son ou ses annuaires LDAP, le système ETP pourra prendre des décisions concernant l'accès à la gratuité des médicaments en accédant à ces annuaires LDAP, et le pharmacien n'aura pas à demander au patient la preuve qu'il bénéficie de cette gratuité. Cette preuve ne sera nécessaire que lorsqu'un patient fait nouvellement partie des bénéficiaires, par exemple lorsque la grossesse d'une femme vient tout juste d'être diagnostiquée par son médecin généraliste et que le DWP n'a pas eu le temps de créer le certificat d'attribut officiel.

Ces rôles sont ensuite utilisés par un moteur de décision (tel que PERMIS, voir www.permis.org), qui détermine si des médecins sont autorisés à délivrer des ordonnances, des pharmaciens à délivrer des médicaments et des patients à bénéficier de la gratuité des ordonnances, conformément à la politique ETP. Chaque application ETP (système pour la délivrance des ordonnances, système pour la délivrance des médicaments et système PPA) lit la politique ETP au moment de l'initialisation puis, lorsqu'un professionnel demande une action (par exemple délivrer une ordonnance ou des médicaments), le moteur de décision extrait le rôle de la personne dans l'annuaire LDAP approprié et prend une décision conformément à la politique. Les utilisateurs peuvent donc accéder à de multiples applications et tout ce dont ils ont besoin d'avoir est une paire de clés PKI. L'émission des certificats d'attribut de rôle peut avoir lieu sans que l'utilisateur n'intervienne et les utilisateurs n'ont pas à se soucier de savoir comment et où ces certificats sont enregistrés et utilisés par le système.

38 Applications La Figure 17 contient un exemple d'implémentation d'un système d'ordonnances électroniques au

Royaume-Uni, qui illustre plusieurs problèmes de sécurité essentiels qui se posent au moment de l'implémentation. Le cœur du système est constitué par une infrastructure de sécurité qui assure non seulement une forte authentification (à savoir une infrastructure PKI utilisant des certificats de clé publique) mais aussi une forte autorisation (à savoir une infrastructure PMI) qui permet de donner une autorisation aux professionnels médicaux sur la base de leurs rôles enregistrés dans les certificats d'attribut. Les modèles classiques utilisent des listes de contrôle d'accès enfouies dans chaque application particulière (par exemple dossiers médicaux, bases de données d'ordonnances, assurance, etc.), pouvant obliger les utilisateurs (médecins, pharmaciens, patients, etc.) à obtenir et à administrer plusieurs jetons de sécurité différents (par exemple nom d'utilisateur/mot de passe, carte, etc.). Dans le nouveau modèle qui intègre les architectures PKI et PMI, l'utilisateur n'a besoin que d'un seul jeton – le certificat de clé publique de l'utilisateur – pour accéder aux différents services et aux différentes ressources qui sont réparties géographiquement ou topologiquement. Les certificats d'attribut de l'utilisateur sont conservés dans le système et non par l'utilisateur et sont transférés d'un composant à un autre en fonction des souhaits afin d'accorder un accès. Comme les certificats d'attribut sont signés numériquement par leurs émetteurs, ils ne peuvent pas être altérés au cours de ces transferts.

SecMan_F17

Demande d'ordonnance électronique Ordonnance

électronique chiffrée

Ordonnance contenant une clé de déchiffrement électronique

Ordonnance électronique chiffrée Feuille de soin électronique chiffrée

Demande d'ordonnance électronique Ordonnance électronique

chiffrée

Feuille de soin électronique chiffrée

Ordonnance contenant une clé de déchiffrement électronique

Idenficateur d'ordonnance Médecin

Patient

Pharmacien Autorité de

tarification des économies

Relais

Figure 17

Système d'ordonnances électroniques de Salford

Dans l'exemple de la Figure 17, des ordonnances électroniques sont créées par le médecin, signées numériquement (à des fins d'authentification), soumises à un chiffrement symétrique au moyen d'une clé de session aléatoire (à des fins de confidentialité), puis envoyées à une unité de stockage centrale.

Le patient reçoit une ordonnance papier sur laquelle figure un code barre contenant la clé de chiffrement symétrique. Il se rend ensuite à la pharmacie de son choix et remet l'ordonnance au pharmacien, qui scanne le code barre, extrait l'ordonnance et la déchiffre. C'est le patient qui, en fin de compte, a la maîtrise de la personne qui est autorisée à lui délivrer les médicaments, comme dans le système actuel fonctionnant avec des ordonnances papier. Mais ce n'est pas suffisant. Il faut également prévoir des contrôles concernant les personnes autorisées à prescrire tel ou tel médicament et les personnes autorisées à les délivrer et concernant les personnes bénéficiant de la gratuité des médicaments.

Conclusions 39 Même si la description ci-dessus fait apparaître un système fortement intégré, celui-ci peut en réalité être réparti. En effet, l'annuaire d'attributs des médecins peut être différent du système qui authentifie les pharmaciens ou qui stocke les droits et politiques en matière de délivrance de médicaments, etc., qui s'appuient sur des tiers de confiance pour authentifier et autoriser les différents acteurs. Même si la mise en œuvre de solutions propriétaires est envisageable pour les infrastructures PKI et PMI, le recours à des solutions normalisées (par exemple la Recommandation UIT-T X.509) permet aujourd'hui d'offrir un accès plus généralisé et global aux ordonnances électroniques.

7 Conclusions

L'UIT-T a commencé il y a longtemps à élaborer un ensemble de Recommandations fondamentales sur la sécurité: X.800 est un document de référence sur l'architecture de sécurité pour l'interconnexion des systèmes ouverts et la série X.810-X.816 définit un cadre de sécurité pour les systèmes ouverts, les Recommandations de cette série traitant respectivement de l'aperçu général, de l'authentification, du contrôle d'accès, de la non-répudiation, de la confidentialité, de l'intégrité et enfin de l'audit et des alarmes de sécurité. Plus récemment, la Recommandation UIT-T X.805 a été élaborée en vue de décrire l'architecture de sécurité pour les systèmes assurant des communications de bout en bout. La modification architecturale que la Recommandation X.805 représente tient compte des menaces et vulnérabilités plus nombreuses qui résultent d'un environnement devenu multiréseaux et multifournisseurs de services. La Recommandation X.509 portant sur le cadre général des certificats de clé publique et d'attribut est certainement le texte de l'UIT-T auquel il est le plus souvent fait référence en matière d'applications de sécurité, soit directement, soit implicitement dans d'autres normes reposant sur les principes énoncés dans la Recommandation X.509.

En plus de ces Recommandations cadres, l'UIT-T a établi des dispositions relatives à la sécurité de plusieurs systèmes et services définis dans ses Recommandations. Le paragraphe 6 du présent manuel décrit notamment les applications suivantes: téléphonie IP utilisant H.323 ou IPCablecom, transmission sécurisée de télécopie et gestion de réseau. Il donne également un exemple d'application des infrastructures de clé publique et de gestion de privilège à la télésanté. Il convient de noter qu'il existe de nombreux autres domaines dans lesquels les besoins de sécurité sur le plan des télécommunications et des technologies de l'information sont pris en considération dans les Recommandations de l'UIT-T. Ces domaines et des aspects tels que la prévention des fraudes, le rétablissement et le retour à la normale après une catastrophe, examinés au sein de plusieurs Commissions d'études de l'UIT-T, seront abordés dans de futures éditions. A l'appui de ses travaux sur la sécurité, l'UIT-T organise ou participe à des séminaires ou ateliers internationaux sur la sécurité, élabore un projet de sécurité et a désigné une commission d'études directrice pour les travaux de l'UIT-T sur la sécurité.

40 Références

Références

En plus des Recommandations de l'UIT-T (qui figurent à l'adresse www.itu.int/ITU-T/publications/recs.html) mentionnées dans le présent manuel, les documents suivants ont également été utilisés.

[ApplCryp] B. Schneier, "Applied Cryptography – Protocols, Algorithms and Source Code in C"

(Cryptographie appliquée – protocoles, algorithmes et code source en C) 2ème édition, Wiley, 1996; ISBN 0-471-12845-7

[Chadwick] D. W. Chadwick; "The Use of X.509 in E-Healthcare" (Utilisation de la

Recommandation X.509 dans le domaine de la télésanté) , atelier sur la normalisation dans le domaine de la télésanté; Genève, 23-25 mai 2003; fichier PowerPoint à l'adresse www.itu.int/itudoc/itu-t/workshop/e-health/s5-02.html et présentation audio à l'adresse www.itu.int/ibs/ITU-T/e-health/Links/B-20030524-1100.ram

[Euchner] M. Euchner, P-A. Probst; "Multimedia Security within Study Group 16: Past, Presence and Future" (Sécurité des systèmes multimédias au sein de la Commission d'études 16:

passé, présent et avenir) , atelier de l'UIT-T sur la sécurité; 13-14 mai 2002, Séoul, Corée; www.itu.int/itudoc/itu-t/workshop/security/present/s2p3r1.html

[FreePresc] Statistiques relatives à la gratuité des médicaments au Royaume-Uni;

www.doh.gov.uk/public/sb0119.htm

[Packetizer] "A Primer on the H.323 Series Standard" (Contribution sur la norme H.323) www.packetizer.com/iptel/h323/papers/primer/

[Policy] D. W. Chadwick, D. Mundy; "Policy Based Electronic Transmission of Prescriptions"

(Transmission électronique des ordonnances fondée sur des politiques); IEEE POLICY 2003, 4-6 juin, lac de Côme, Italie.

sec.isi.salford.ac.uk/download/PolicyBasedETP.pdf

[SG17] Commission d'études 17 de l'UIT-T; "Commission d'études directrice pour la sécurité des systèmes de communication"

www.itu.int/ITU-T/studygroups/com17/cssecurity.html (paragraphe 2 portant sur le catalogue des Recommandations de l'UIT-T relatives à la sécurité des systèmes de communication; paragraphe 3 portant sur le recueil des définitions relatives à la sécurité figurant dans les Recommandations de l'UIT-T)

[Shannon] G. Shannon; "Security Vulnerabilities in Protocols" (Vulnérabilités de sécurité dans les protocoles); atelier de l'UIT-T sur la sécurité; 13-14 mai 2002, Séoul, Corée;

www.itu.int/itudoc/itu-t/workshop/security/present/s1p2.html

[Wisekey] S. Mandil, J. Darbellay; "Public Key Infrastructures in e-health" (Infrastructures de clé publique dans le domaine de la télésanté); contribution écrite à l'atelier sur la

normalisation dans le domaine de la télésanté; Genève, 23-25 mai 2003;

www.itu.int/itudoc/itu-t/workshop/e-health/wcon/s5con002_ww9.doc

Annexe A: Terminologie dans le domaine de la sécurité 41

Annexe A: Terminologie dans le domaine de la sécurité

Les acronymes et termes suivants sont extraits de Recommandations de l'UIT-T et d'autres sources externes, comme indiqué ci-dessous. Des sources complémentaires sont présentées au paragraphe A.3 de la présente Annexe.