Uncategorized

Pourquoi la santé a besoin d’une nouvelle couche de confiance

Pourquoi la santé a besoin d’une nouvelle couche de confiance

Il existe une expérience de pensée en philosophie que l’on appelle le bateau de Thésée. Si l’on remplace chaque planche d’un navire en bois, une par une, s’agit-il toujours du même navire ? L’informatique de santé mène sa propre version de cette expérience depuis trois décennies — remplaçant les composants analogiques par des composants numériques, pièce par pièce, en supposant que le modèle de confiance sous-jacent tiendrait bon.

Ce ne fut pas le cas.

Les planches ont été remplacées, mais la coque n’a jamais été redessinée pour les nouvelles conditions de navigation. Et ces conditions ont changé de manière spectaculaire. Les données cliniques franchissent désormais les frontières institutionnelles par défaut. Un médecin généraliste à Zurich adresse un patient à un spécialiste à Berne. Un laboratoire transmet des résultats à la clinique prescriptrice. Une pharmacie vérifie une ordonnance d’un médecin avec lequel elle n’a jamais interagi auparavant. Ce ne sont pas des cas limites. Ce sont les opérations ordinaires d’un système de santé moderne.

L’infrastructure de confiance sous-tendant la plupart de ces interactions a été conçue pour un monde où les institutions opéraient principalement à l’intérieur de leur propre périmètre. Ce monde n’existe plus.

Le problème n’est pas le contrôle d’accès

La sécurité périmétrique fonctionne bien lorsque la menace est externe et les acteurs sont internes. Le pare-feu d’un hôpital empêche les intrus d’entrer. L’authentification par certificat confirme qu’un serveur est bien celui qu’il prétend être. Ces outils restent essentiels.

Mais voici la faille structurelle : l’infrastructure existante peut vérifier qu’un message est arrivé d’un serveur connu. Elle ne peut pas vérifier de manière fiable que le message a été autorisé par un professionnel humain spécifique et identifié — et que cette autorisation est toujours valide au moment où l’institution destinataire la vérifie.

Les autorités de certification qui sous-tendent ce système créent leurs propres problèmes. Chaque AC est un tiers qui détient la confiance en otage — une entité qui peut être compromise, contrainte par des gouvernements, ou défaillir opérationnellement. Let’s Encrypt détient à elle seule environ 60 % de parts de marché pour les certificats TLS. Une seule institution américaine comme point de défaillance unique structurel pour la majorité de la sécurité du transport internet.

C’est un prix élevé à payer pour la « confiance ».

Trente ans de courrier chiffré — et ses limites

Health Info Net AG — HIN — exploite une infrastructure de messagerie médicale sécurisée en Suisse depuis trente ans. Aujourd’hui, SEAL traite plus de 800 000 interactions chiffrées par mois sur ce réseau, reliant plus de 30 000 cabinets de médecins généralistes aux hôpitaux, spécialistes, pharmacies et laboratoires.

C’est une réalisation opérationnelle significative. La passerelle de messagerie qui a précédé SEAL a maintenu les communications de santé sensibles privées et authentifiées depuis le milieu des années 1990. Elle a fait ce pour quoi elle avait été conçue.

Mais elle a été conçue pour une ère du courriel. Elle opère au niveau de la couche de messagerie. Elle peut confirmer qu’un message est chiffré et qu’il est arrivé via l’infrastructure HIN. Ce qu’elle ne peut pas faire, c’est intégrer des assertions vérifiables sur les qualifications professionnelles de l’expéditeur, son affiliation institutionnelle actuelle ou les permissions spécifiques qu’il détient — sous une forme que le destinataire peut vérifier de manière indépendante, sans interroger un registre central.

À mesure que les systèmes de santé évoluent vers l’échange de données structurées — pensez aux flux de travail de prescriptions cliniques basés sur FHIR, aux orientations interinstitutionnelles avec autorisation liée au consentement, au routage de résultats de laboratoire en temps réel — le modèle de couche de messagerie atteint ses limites architecturales. Non pas parce qu’il est défaillant. Mais parce que les exigences ont dépassé ce pour quoi il a été construit.

Ce qui remplace la sécurité périmétrique

La réponse n’est pas un périmètre plus grand. C’est une primitive de confiance fondamentalement différente : des attestations vérifiables cryptographiquement, détenues par les acteurs eux-mêmes, et non uniquement par les systèmes qu’ils utilisent.

Au lieu de demander « ce message est-il arrivé par un canal autorisé ? », la question devient : « ce message porte-t-il une preuve cryptographique que l’expéditeur détient des attestations actuelles et valides, émises par une autorité en laquelle le destinataire a déjà confiance ? »

Cela déplace la confiance de la couche d’infrastructure vers la couche d’identité. Un message porte avec lui la preuve de qui l’a envoyé, sous quelle autorité professionnelle, et si cette autorité est toujours valide — sans que le destinataire ait besoin d’interroger un registre central au moment de la vérification.

Les systèmes OAuth et de certificats sur lesquels la plupart des organisations s’appuient aujourd’hui n’ont pas été conçus pour cela. Ils excellent dans la gestion de sessions au sein d’un domaine unique. Mais la confiance interinstitutionnelle ? OAuth suppose que la partie émettant le jeton est la partie qui s’y fie. Lorsque l’Institution A émet un jeton, il fonctionne au sein de l’Institution A. L’Institution B n’a aucune raison de lui faire confiance. Il n’existe aucun mécanisme natif pour cette vérification transfrontalière.

Alors les organisations convergent vers un fournisseur d’identité central — Google, Microsoft, Okta — recréant le problème de centralisation sous un nouveau visage.

Une architecture de confiance distribuée — où chaque entité maintient sa propre identité cryptographique ancrée à un identifiant auto-certifiant, vérifiable par toute contrepartie sans intermédiaire central — répond à cette limitation structurelle. C’est la gestion décentralisée des clés. Et c’est l’architecture derrière Stargate, l’infrastructure de confiance qui transforme le réseau HIN.

La transformation en cours

Le déploiement HIN n’est pas une preuve de concept. SEAL, le système de livraison en essaim chiffré qui gère la communication externe vers les destinataires hors du réseau HIN, traite ces plus de 800 000 interactions par mois en production. Les destinataires — principalement des patients — accèdent à leurs messages dans n’importe quel navigateur, sur n’importe quel appareil. Pas de téléchargement d’application. Pas de comptes. Pas de certificats.

Mais SEAL est le point de départ, pas la destination. Stargate est la plateforme complète actuellement déployée — remplaçant la passerelle de messagerie historique de HIN par une infrastructure qui ajoute l’identité décentralisée, les attestations vérifiables, l’échange de données structurées et les pistes d’audit cryptographiques en plus de la communication chiffrée.

Le déploiement phasé sur plusieurs années se poursuit. 2026 apporte les passerelles aux hôpitaux et institutions. 2027 cible les clients HIN dans les cabinets de médecins généralistes. HIN entreprend cette transformation avec le soutien de Vereign — non pas comme une migration de remplacement total, mais comme une évolution organique où Stargate conserve une rétrocompatibilité complète avec les systèmes existants.

D’un point de vue technique, l’aspect le plus important de ce déploiement est ce qu’il n’exige pas : il n’exige pas que chaque institution participante fasse confiance à une seule autorité centrale. Chaque entité maintient son propre journal d’événements de clés. Toute contrepartie vérifie la confiance en lisant directement ce journal — pas de négociation bilatérale, pas d’AC partagée, pas d’accord de confiance intermédiaire.

Au-delà de la santé

Le schéma que j’ai décrit ici n’est pas spécifique à la Suisse ni à la messagerie médicale. Chaque secteur réglementé — finance, juridique, administration publique, pharma, énergie — fait face au même défi structurel : des acteurs qui doivent interagir au-delà des frontières institutionnelles, avec des attestations qui doivent être vérifiables sans dépendance centrale, dans des environnements où la piste d’audit est non négociable.

La santé a prouvé que cela fonctionne à grande échelle. Plus de 800 000 interactions vérifiables par mois, des dizaines de milliers de professionnels de santé, des centaines de participants institutionnels. Les attestations sont vérifiables. Le système est résilient. La conformité est claire, car chaque assertion sur l’identité professionnelle porte sa propre preuve cryptographique.

Le problème de confiance n’est pas un bogue logiciel à corriger. C’est une lacune structurelle qui nécessite une nouvelle infrastructure.

Revenons donc au bateau de Thésée. La santé remplace des planches depuis trente ans. Ce dont elle a besoin maintenant, ce n’est pas d’une planche supplémentaire. C’est d’une coque conçue pour les eaux dans lesquelles elle navigue réellement — une coque où la confiance ne dépend pas d’une seule autorité qui reste honnête, qui reste financée et qui reste non compromise.

Voilà ce que signifie une couche de confiance. Pas un nouveau périmètre. Une nouvelle fondation.

Continuer la lecture

Comment la confiance distribuée fonctionne dans les secteurs réglementés
Uncategorized

Comment la confiance distribuée fonctionne dans les secteurs réglementés

Regulated industries share a structural problem: the organisations that need to trust each other do not share infrastructure. A hospital and a pharmacy. A bank and a regulator. A manufacturer and a customs authority. Each operates within its own security perimeter, with its own identity systems, its own compliance requirements, and its own chain of […]

Lire la suite →
Qu’est-ce que les Verifiable Credentials ?
Uncategorized

Qu’est-ce que les Verifiable Credentials ?

Il existe un document que presque tout le monde porte avec soi et qui résout un problème que nous avons collectivement échoué à résoudre numériquement depuis plus de trois décennies. Votre passeport. Remettez-le à un agent des douanes à Zurich, Tokyo ou São Paulo. L’agent l’inspecte, vérifie la photographie, contrôle les éléments de sécurité de […]

Lire la suite →

Une communication vérifiée — déployée, pas seulement décrite.

L'infrastructure de confiance de Vereign est opérationnelle dans l'ensemble du système de santé suisse. Réservez une revue d'architecture de 30 minutes pour définir ce que signifie une communication souveraine pour votre organisation.

Réserver une revue d'architecture
Protection des données suisse Conforme au RGPD Open Source AGPLv3+ Hébergement suisse