Le certificat COVID opérationnel en un temps record

L’OFIT et l’OFSP ont collaboré pour développer en un temps record un système pour émettre, transmettre et vérifier les certificats COVID des personnes vaccinées, testées et guéries. Le système de certificat COVID se compose de trois applications. Il est valable dans l’UE et son code source est ouvert.

Au printemps 2021, le Conseil fédéral a chargé l’Office fédéral de l’informatique et de la télécommunication (OFIT) de développer un support pour les certificats COVID avant la fin du mois de juin 2021. L’OFIT s'est imposé face à 50 autres compétitrices et compétiteurs, et a finalement développé en un temps record un système en trois volets avec la collaboration avec l’Office fédéral de la santé publique (OFSP).

Le certificat COVID peut être présenté sur papier ou dans l’application «COVID Certificate». L’application «COVID Certificate Check» permet de vérifier la validité et l’authenticité d’un certificat.

La première application permet aux médecins, aux pharmaciennes et pharmaciens ainsi qu’aux autres professionnels de la santé d’établir un certificat COVID au moyen d’une application web sur leur système primaire. L’application «COVID Certificate», quant à ele, loffre la possibilité aux détentricse et détenteurs d’un certificat de le télécharger au format électronique sur leur téléphone portable. Le système dispose enfin d’une troisième application, «COVID Certificate Check», qui permet de vérifier l’authenticité et la validité d’un certificat COVID. Il faut, pour cela, scanner le code QR présent sur le certificat papier ou dans l’application «COVID Certificate». La signature électronique rattachée à ce code est alors vérifiée. La personne chargée de la vérification voit le nom et la date de naissance du détenteur ou de la détentrice du certificat ainsi qu’une indication de la validité du certificat. Ces informations doivent être communiquées afin de permettre la comparaison avec la pièce d'identité.

Les personnes vaccinées, guéries ou présentant un test négatif peuvent recevoir un certificat sur demande.

Mise en œuvre facilitée par les savoir-faire existants

L’OFIT a pu s’appuyer sur des composants informatiques existants pendant le développement, dont la Public Key Infrastructure (PKI), une technologie de base de l’OFIT qui a fait ses preuves. Grâce à elle, le code QR est signé électroniquement et rendu infalsifiable. Des moyens d’authentification établis tels que le CH-Login de l’administration fédérale ont également été mis à profit dans les plus brefs délais pour assurer l’accès sécurisé au système pour l’établissement de certificats.

En outre, l’OFIT a fait usage de microservices existants: l’interface vers la ligne d’impression de l’Office fédéral des constructions et de la logistique (OFCL) permet ainsi d’imprimer et d’envoyer les certificats COVID des personnes guéries de manière complètement automatisée. «Les microservices sont particulièrement utiles lors de projets soumis à des délais très courts», explique Philippe Voirol, chef de la division principale Strategy & Innovation de l’OFIT. «Nous sommes en mesure de les intégrer à de nouveaux systèmes facilement. Cela nous permet de gagner un temps précieux.»

Expérience en matière de projets informatiques complexes

Si les technologies de base et les microservices qui contribuent à la modularité des projets sont importants, le savoir-faire acquis dans les méthodes agiles et la direction de projets complexes l’est tout autant.

«L’OFIT a de longues années d’expérience dans la gestion agile de projets, non seulement pour le développement de logiciels, mais aussi dans la réalisation de programmes tels que FISCAL-IT, DaziT ou SUPERB», dit Patrik Riesen, chef de projet à l’OFIT. «Sans la maîtrise des méthodes pertinentes et sans cette expérience, il nous aurait été impossible de mener à bien un projet tel que celui du certificat COVID en si peu de temps.»

Par ailleurs, de précieuses leçons ont pu être tirées du projet «Application SwissCovid» achevé l’année dernière en collaboration avec l’OFSP. Un code source ouvert, une architecture nécessitant peu de données (Privacy by Design) et un test public de sécurité ont également compté parmi les facteurs de réussite du projet de certificat.

Malgré tout, les responsables du projet ont dû surmonter quelques obstacles. Sans compter les délais très courts de développement et de mise en service, ce projet aux multiples facettes devait répondre aux attentes de groupes d’intérêts divers. «Il nous a fallu prendre en compte les exigences et les besoins des cantons, des associations et du personnel médical en poste dans les centres de test et de vaccination», explique Nassima Mehira, cheffe de projet à l’OFSP. De plus, le projet a également demandé une collaboration intense avec l’OFCL et les fabricants de logiciels médicaux utilisés, par exemple, lors des campagnes de vaccination ou dans les cabinets médicaux. Les relations publiques aussi ont joué un rôle important, car le sujet suscitait un intérêt énorme de la part des médias et du public. «La volonté de coopérer dont tous les participants ont fait preuve a beaucoup compté pour la réussite du projet», affirme Nassima Mehira.

Enfin, presque tout s’est déroulé virtuellement, ce qui a posé des défis sur le plan de la communication. Les collaboratrices et collaborateurs de l’OFIT et de l’OFSP travaillaient toutefois presque exclusivement à domicile avant même le début du projet. Ils étaient donc très bien équipés pour la collaboration en ligne.

Certificat COVID est valable dans l’UE et se fonde sur un code source ouvert

Il était particulièrement important que le certificat COVID soit valable dans l’UE. Un certificat établi en Suisse devait être vérifiable par les systèmes nationaux des pays de l’UE. Les équipes du projet de certificat ont donc entretenu des échanges soutenus avec les responsables du «certificat COVID numérique de l’UE». Le plus difficile a été de répondre aux spécifications changeantes de l’UE.

Le certificat COVID est valable dans l’UE.

En outre, le système remplit les exigences en matière de sécurité et de protection des données. En effet, aucune information personnelle n’est sauvegardée sur les systèmes centraux de l’administration fédérale. Le code source utilisé est ouvert (open source), c’est-à-dire accessible publiquement, ce qui renforce encore la sécurité du système: le code est à disposition du public. En parallèle des travaux de vérification de spécialistes de la sécurité informatique en interne, le Centre national pour la cybersécurité (NCSC) conduit un test public de sécurité depuis fin mai. Le code source a de nouveau fait l’objet d’un examen approfondi et il reste possible de signaler toute observation.

Le fait que le code soit ouvert offre d’autres avantages. Cela a permis à 100 fabricants de relier leurs systèmes primaires (systèmes de test et de vaccination par exemple) à celui de l’OFIT. Les personnes habilitées peuvent ainsi établir des certificats COVID rapidement et simplement au moyen de leur système de test ou de vaccination.

Grâce au code ouvert, les systèmes de test et de vaccination ont pu être intégrés rapidement.

Le code étant libre d’accès, d’autres États peuvent, par ailleurs, l’utiliser pour leur certificat national. C’est ainsi que l’Autriche a adapté très rapidement l’application «COVID Certificate» de la solution suisse à ses besoins et lancé son application sous le nom de «Grüner Pass» (pour plus d’informations, cliquez ici [en allemand]).