Projet DMSP – 27 novembre Dossier Médico-Social Partagé, Nomade et Sécurisé Revue du projet DMSP T novembre 2007 Avec la participation de

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre DMSP : Dossier Médico-Social Partagé Améliorer la coordination et la qualité des soins et des prestations sociales dans deux coordinations gérontologiques des Yvelines (ALDS et COGITEY) … … par la mise en œuvre dune plate-forme expérimentale de dossier médico-social partagé, accessible au chevet du patient et fortement sécurisé Expérimentation auprès dune centaine de patients et professionnels médico-sociaux (PMS) volontaires Réflexion sur ladaptabilité à dautres contextes Populations en situation de précarité ou de handicap Prestations à domicile

Projet DMSP – 27 novembre Point de départ de la réflexion Dossier partagé du réseau Emile (ALDS) Dossier médico-social papier (classeur vert) Très bénéfique pour la coordination mais … Absence totale de confidentialité au chevet du patient –tout le monde voit tout : entourage, auxilliaire de vie, infirmière … –Inconciliable avec des situations humainement complexes Faible mobilité –souvent incomplet –peu utile pour une prise de décision à distance Saisies multiples des données –Autant de fois que de systèmes dinformation à alimenter –Pas de capitalisation avec dautres initiatives

Projet DMSP – 27 novembre Solution naturelle : serveur Bases de Données Intérêt de la centralisation des dossiers dans un serveur bases de données (systèmes EHR) Propriétés essentielles : Complétude, Cohérence, Disponibilité, Durabilité, Sécurité des données Nombreux programmes EHR nationaux (France, GB, Canada, Allemagne, Autriche, …) Des résistances persistantes malgré lintérêt admis des EHR Public Attitudes Toward Privacy and EHR Programs [West05] –Sensitive health data may be leaked % –Sharing of personal health data without patients knowledge % –The privacy risk outweigh the benefits %

Projet DMSP – 27 novembre Limites de lapproche serveur traditionnelle Sentiment de perte de contrôle sur ses propres données : Difficulté dexpression du consentement du patient : –Sémantique complexe des données –Politique de contrôle daccès par défaut –TableDroitsAcces_GIPDMP.pdfTableDroitsAcces_GIPDMP.pdf –Difficulté dauditer les accès a posteriori –Simple de savoir qui a accédé au dossier, difficile dauditer ce quil y a vu Conservation mal bornée des données –Réminiscences des données détruites (droit à loubli ?) Pas de garantie de sécurité hors serveur (terminal patient ou médecin) Pas daccès déconnecté aux données

Projet DMSP – 27 novembre Dimensions du problème 1.Expression du consentement : rendre au patient la possibilité détablir un contrôle strict, compréhensible et observable sur la façon dont ses données sensibles sont échangées. 2.Conservation des données : rendre au patient la maîtrise de la durée de conservation de ses données, en distinguant les notions de conservation et de durabilité. 3.Continuité de la sécurité : garantir le même niveau de sécurité quel que soit lendroit où les données sont hébergées (serveur ou terminal) et quelle que soit la façon dont elles sont manipulées (accès connecté ou non). 4.Accès déconnecté : permettre des accès déconnectés aux données tout en garantissant une cohérence à terme de ces données. Applicable à de nombreux contextes de partage de données personnelles

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre BUS FLASH NAND RAM FLASH NOR CPU Crypto Elément de la solution : SGBD embarqué dans un Secure Portable Token Secure Portable Token (SPT) = combinaison de la capacité sécuritaire dune carte à puce la capacité de stockage dune clé USB Le SPT permet dembarquer des données (de façon temporaire ou permanente) dagir comme un co-processeur sécurisé du terminal auquel il est connecté SGBD + serveur Web embarqués permettent un accès sélectif et sécurisé aux données à partir de nimporte quel navigateur Web USB 2.0 Full Speed e.g., 64 Ko e.g., 1 Mo

Projet DMSP – 27 novembre Complémentarité à une approche serveur Répondre aux points de blocage précédents en redonnant au patient un contrôle « physique » sur son dossier (au même titre quun dossier papier) Permettre un accès déconnecté au dossier Paul (Doc.) Jean synchronisation Internet synchronisation Serveur BD Accès déconnecté Accès connecté Lucie Jean Données classiques Règles daccès classiques Données masquées Règles sur D. masquées Clé de chiffrement de Jean Mises à jour de Jean Lucie (Inf.)

Projet DMSP – 27 novembre Statuts des données dun dossier Données régulières Répliquées sur le serveur et le SPT, protégées par la même politique de contrôle daccès Données secrètes Présentes uniquement sur le SPT, accessibles uniquement en présence du patient, durabilité à la charge du patient Données secrètes durables Données secrètes répliquées sur le serveur dans un format chiffré, déchiffrable exclusivement par le SPT, durabilité assurée par le serveur Données restreintes Echangeables entre un petit cercle de personnes de confiance (équipées dun SPT) répliquées sur le serveur dans un format chiffré, déchiffrable exclusivement par les SPT des membres de ce cercle

Projet DMSP – 27 novembre Enregistrement des professionnels médico- sociaux dans la coordination Le professionnel signe la charte de la coordination. Le professionnel est ajouté sur le serveur de Santeos. La coordination fournit un SPT personnalisé contenant son certificat. CoordinationsServeur Doc

Projet DMSP – 27 novembre Enregistrement du patient dans la coordination Le patient signe une charte de prise en charge La coordination crée un dossier pour ce patient sur le serveur La coordination fournit au patient un SPT personnalisé contenant son certificat un replica de son dossier des données globales répliquées du serveur Jean CoordinationsServeur

Projet DMSP – 27 novembre Jean Doc Première visite au chevet du patient Le patient raffine la matrice de droits par défaut avec laide dun référent Il signe une charte « informatique » exprimant son consentement La matrice de droits fait partie intégrante du dossier du patient Report sur le serveur central (cf. scénario suivant)

Projet DMSP – 27 novembre Lucie Zoe Lili Jean Préparation dune visite au chevet du patient Le professionnel récupère les nouveaux éléments intégrés dans les dossiers de ses patients. Ces données sont chargées automatiquement dans le SPT du professionnel (sans que ce dernier ny ait accès). Chez Lucie (infirmière) Serveur Synchro en cous Veuillez patienter

Projet DMSP – 27 novembre Jean Lucie Interaction avec le dossier au chevet du patient Connexion des SPTs dans un terminal mobile Authentifcation du professionnel (pin code) Authentifcation du SPT du professionnel auprès du SPT du patient Synchronisation des dossiers Saisie de nouvelles données Jean Synchro en cours Veuillez patienter Saisie de données

Projet DMSP – 27 novembre Lucie Zoe Lili Jean Retour de visite À la prochaine connexion, le SPT du professionnel transmet automatiquement les nouveaux éléments saisis ou récupérés chez le patient Ils sont intégrés dans les dossiers des patients sur le serveur. Chez Lucie (infirmière) Serveur Synchro en cous Veuillez patienter

Projet DMSP – 27 novembre Jean Doc Interaction avec le dossier au cabinet dun professionnel Comme précédemment La synchronisation avec le serveur central est immédiate puisque lenvironnement est connecté. Synchro en cours Veuillez patienter Jean Saisie de données Jean

Projet DMSP – 27 novembre Jean Donnée D Echange de données restreintes dans un cercle de confiance Jean veut partager une donnée D exclusivement avec son médecin référent Doc. le SPT de Jean chiffre D avec une clé secrète k et stocke sur le serveur central la version chiffrée de D, la clé k, elle-même chiffrée avec la clé publique de Doc. Doc peut être amené à consulter D sans la présence du patient. Le SPT de Doc récupère et déchiffre alors la clé k, ce qui lui permet ensuite de déchiffrer D.k Doc Pub Donnée Dk Doc Priv Donnée D synchro k Doc

Projet DMSP – 27 novembre Donnée D Jean Donnée D k k Intégration dune nouvelle donnée dans le dossier hors de la présence du patient La nouvelle donnée se réfère à une donnée déjà existante et hérite donc de son statut : régulière ou restreinte donnée régulière Intégrée sur le serveur central et reportée à la prochaine synchro. donnée restreinte elle est chiffré avec la clé secrète k ayant servie à chiffrée la donnée initiale. Comme précédemment, k est chiffrée avec la clé publique de Doc et stockée sur le serveurk Doc Pub Doc Priv synchrok Doc Saisie de données k

Projet DMSP – 27 novembre Dimensions du problème 1.Expression du consentement : distinction entre données régulières, secrètes, restreintes. 2.Conservation des données : distinction entre données régulières et données secrètes durables. 3.Continuité de la sécurité : aucune donnée en clair en dehors des SPT (hors affichage) 4.Accès déconnecté : cohérence à terme Applicable à de nombreux contextes de partage de données personnelles

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre Architecture fonctionnelle Internet Clé privée (k priv ) Accès mobile BUS FLASH NAND RAM FLASH NOR CPU Crypto Synchro. Accès déconnecté Synchronisation Infrastructure FLASH NOR Données D. régulières D. secrètes durables kUkU D. restreintes k Certificats Clés publiques (k pub ) Clés secrètes (k) k pub Données hébergées sur le terminal de P kPkP FLASH NAND D. régulières D. secrètes kUkU D. secrètes durables kUkU kUkU D. restreintes kUkU Deltas chiffrés kDkD Browser WEB Système dexploitation Serveur didentités SGBD commercial Web Server Synchronisation Servlets Système dexploitation Logiciel TerminalServeurSPT Clés secrètes (k U ), (k) Clés pour deltas (k D ) Certificat utilisateur Système dexploitation Machine virtuelle Java Authentification Contrôle daccès Evaluateur de requêtes Modules crypto. Indexation / Stockage Web Server Synchronisation Servlets TCP/IP USB OS multi - thread

Projet DMSP – 27 novembre Quelques verrous technologiques (1) Caractéristiques matérielles du Secure Portable Token CPU 32 bits RISC cadencé à 50MhZ Peu de RAM (48KB) Mémoire de stockage NAND Flash –Grande capacité de stockage (à terme plusieurs GB) –Lecture/écriture de granule page (2KB) –Réécriture effacement dun bloc (64 pages) –très coûteux –nb deffacement limité (10 5 ) –Écriture « out of place » ramasse-miettes

Projet DMSP – 27 novembre Quelques verrous technologiques (2) Requêtes sur de grands volumes de données avec peu de RAM Accélérer les sélections et les jointures Etat de lart Algorithmes de jointure classiques (e.g., Hash Join) trop de RAM consommée Index de jointure entraîne des tris Consommation de RAM ou écriture Solution proposée Climbing Index (CI): index reliant tout tuple aux tuples le référençant dans un schéma arborescent. Subtree Key Table (SKT): Index de jointure multitable. La combinaison de Subtree Key Table et de Climbing Index permet dexécuter des requêtes SPJ complexes avec très peu de RAM. Articles SIGMOD07 et VLDB07

Projet DMSP – 27 novembre Quelques verrous technologiques (3) Index spécifiques pour NAND-Flash Combiner performance des recherches sur clé et dynamicité des index Etat de lart Index classiques (arbres) trop de réécritures Index dédiés à la NAND-Flash grande consommation de RAM émiettement de la Flash Solution PBFilter Index = liste séquentielle déléments Liste compressée par Bloom Filters, méthode de hachage probabiliste Partitionnement vertical du résultat de la compression Efficace jusquà des fichiers denviron 1 million denregistrements, très faible consommation RAM, pas démiettement Brevet INRIA-Gemalto

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre Démonstrations Serveur central Contenu du dossier médico-social Liste des intervenants Interface Web daccès et de mise à jour Import de données Secure Portable Token Capacité de stockage et débit Serveur Web embarqué Serveur BD embarqué Démonstration sur PC des fonctionnalités du serveur en interrogation et mise à jour Illustration de luniformité dutlisation (avec serveur central) Illustration de la logique de développement dune application

Projet DMSP – 27 novembre Plan Objectifs du projet Analyse des besoins Dimensions du problème Solution DMSP Secure Portable Token Scénarios dusage Architecture fonctionnelle Architecture Eclairage sur quelques verrous technologiques Démonstrations Serveur central et interface Web Secure Portable Token SGBD et dossiers embarqués Plan de travail

Projet DMSP – 27 novembre Bilan à T0+12 Due à T0+12 : plate-forme logicielle préliminaire 1. Une base de données centralisée de dossiers médico-sociaux accessible via une interface Web 2. Un protocole de communication sécurisé et un protocole de signature standards 3. Des outils dimport/export 4. Un dossier médico-social portable sur SPT sans contrôle daccès ni synchronisation léger retard dû à une incertitude de plate-forme Travail de spécification Contenu du dossier, cartographie des acteurs, description des scénarios dusage, architecture fonctionnelle, 1 er analyse de la gestion des droits Autres éléments de valorisation Colloques : PariSTIC (ANR), INRIA-Industrie, Protection de lindividu numérisé (CNRS), GerontExpo-HIT (Health Information Technologies), cartes2007 Publications collectives: soumission journal international, article invité Brevet européen INRIA-Gemalto Projet ANR PlugDB

Projet DMSP – 27 novembre Plan de travail T0+18 Spécifications détaillées de –Moteur SGBD embarqué –Méthodes de protection des données (droits daccès, chiffrement des données, gestion des certificats, protocoles déchange de clés) –Protocole de synchronisation et Import/export –OS et API du SPT Portage total du SGBD embarqué sur émulateur matériel (et premiers test sur SPT ?) T0+24 Développement du protocole de synchronisation et des outils dexport Développement des méthodes de protection des données Application Serveur V2 et APA ? Plate-forme logicielle intermédiaire permettant un démarrage de lexpérimentation

Projet DMSP – 27 novembre Questions ?