Décret confidentialité, 23 janvier 2009 1
Direction du Système d’Information et Analyse de gestion
Retour d’expérience
du CHU d’ANGERS
Projet « contrôle des accès logiques »
F. TESSON, RSSI
Décret confidentialité, 23 janvier 2009 2
Direction du Système d’Information et Analyse de gestion
Le Contexte en quelques chiffres
1458 lits et places, 3 sites (Larrey, St Barthélémy, maison d’arrêt)
6 000 agents (dont 850 médicaux et pharmaceutiques)
1 100 étudiants
2 650 PC
4 900 comptes utilisateur
150 applications
Décret confidentialité, 23 janvier 2009 3
Direction du Système d’Information et Analyse de gestion
Le contexte du SIH
Applications majeures :• Mc Kesson : Noyau, EVRH, GAM, GEF, CROSSWAY (2007),
URQUAL (2008)• PACS (2006, Fuji)• Système de Gestion des Laboratoires (2007, GLIMS, Cyberlab)• Ultragenda
Infrastructure logicielle :• EAI (2007, Synchronie/AXWAY)
Infrastructure de production :• 60 serveurs physiques (AIX, Windows), baies SAN (72 To)• Virtualisation des machines (VMware)
Décret confidentialité, 23 janvier 2009 4
Direction du Système d’Information et Analyse de gestion
Projet « sécurisation des accès » :Chronologie
1998 2003 2005 2006 2008 2009
GSTT(1) Windows 95
(1) Gestion Souple du Temps de Travai(2) Système d’Information Médical et de Soins(3) Système de Gestion des Laboratoires
Windows XP
409
323 4 800 5 881 6 062 6 861 7 000
1 241 1 390 2 800
Choix supports
base sécurité
1 ère QualificationAuthentification
forte
Cadres de santéet administratifs
2 ème QualificationPoste de travail
Postes dédiés et consultation
Déploiement solution(avec SSO)
Évolution base sécurité (FUS)
SGL(3)
SIMS(2)
Décret confidentialité, 23 janvier 2009 5
Direction du Système d’Information et Analyse de gestion
Usages de la carte CPS/CPE
• Contrôle d’accès au système d’information hospitalier
• Contrôle d’accès à la plate-forme régionale
• Contrôle physique des accès aux locaux (site pilote)
• Badgage gestion du temps de travail (pointage)
• Paiement restaurant des agents et étudiants (réévaluateurs, phase pilote)
• Gestion sécurisée des flux de données avec les partenaires externes (certificat GIP-CPS)
Décret confidentialité, 23 janvier 2009 6
Direction du Système d’Information et Analyse de gestion
Principes de la politique des accès
• Tous les accès, à partir d’un poste de travail connecté au système de gestion de l’établissement, doivent être effectués par authentification forte
• Une seule autorité de certification (GIP-CPS)
• Un seul support d’authentification pour l’ensemble des usages (carte CPS/CPE)
• L’authentification forte est indépendante des postes de travail (itinérance)
• Centraliser dans une base sécurité la gestion des autorisations (habilitations, privilèges) et des supports d’authentification
• Assurer la continuité du service sécurité pour ne pas perturber le processus de production de soins
• Enregistrer les accès aux ressources (Audit)
Décret confidentialité, 23 janvier 2009 7
Direction du Système d’Information et Analyse de gestion
ParamètresSessions
Horaires,Rôles …Audits
Supportsauthentification
HabilitationsAutorisations
Privilèges
Architecture (IAM(1))
(1) IAM = Identity and Access Management = gestion des identités et des accès
IDENTITES
Basesécurité
INTERFACES
Bases des
comptesdes
applications
Politique d’autorisationPolitique des accès
OrganisationINTERFACES
Décret confidentialité, 23 janvier 2009 8
Direction du Système d’Information et Analyse de gestion
GLIMS
Arccam
GESTOR
Cyberlab
EAI
Architecture (IAM(1))
(1) IAM = Identity and Access Management = gestion des identités et des accès(2) EAI = Enterprise Application Integration = intégration d’applications d’entreprise
Pont
EAI
EVRH Pont
Basesécurité
AD
GAM
GEF
URQUAL
Crossway
NoyauREF
IntégrationGIP-CPS
CommandeGIP-CPS
Décret confidentialité, 23 janvier 2009 9
Direction du Système d’Information et Analyse de gestion
Organisation « contrôle des accès logiques »
• Processus gestion de projet– Projet transversal Comité de pilotage (directions
fonctionnelles)– Pilotage du marché (Service informatique)
• Processus de remise des cartes (face à face)– Implication DRH et DAM– Implication des écoles (IFSI)
• Processus de continuité de service– Gestionnaires de proximité
• Processus de commande des cartes
Décret confidentialité, 23 janvier 2009 10
Direction du Système d’Information et Analyse de gestion
Projet « sécurisation des accès » en quelques chiffres
2 040 postes sécurisés / 2 650 PC soit 77%
2 526 utilisateurs « sécurisés » / 4 900 comptes
7 125 cartes dont 2089 CPS, 120 CPF, 4916 CPE,dont 1650 cartes de service
38 000 habilitations, 140 applications162 gestionnaires de proximité
Processus Carte CPS / Habilitation = Investissement de 400 000 €, 0,7 ETP sur 10 ansFonctionnement = 110 000 €/an, 1,5 ETP
Décret confidentialité, 23 janvier 2009 11
Direction du Système d’Information et Analyse de gestion
Perspectives
• Intégration du changement de contexte rapide (postes de travail unités de soins, paillasses et Urgences) Généralisation à tout l’établissement Evolution du logiciel
• Workflow des habilitations (automatisme dans 80% des cas habilitations métier)
• Mise en œuvre du « sans contact » (nouvelle carte IAS GIP-CPS, mode d’usage « Urgences »)
• Création d’un « espace de confiance » (cadre de la plate-forme régionale protocole SAML V2)
Décret confidentialité, 23 janvier 2009 12
Direction du Système d’Information et Analyse de gestion
Retour d’expérience
• PERSEVERANCE à toute épreuve• Élaborer et valider une politique ENGAGEMENT• CONDUITE DU CHANGEMENT dont la sensibilisation des
acteurs à la sécurité des systèmes d’information• Implication de la DRH/DAM et des gestionnaires délégués
Architecture technique : • Le choix des prestataires est déterminant• AUTOMATISATION des procédures• Maîtriser les flux de données• Intégration de la mobilité et du changement de contexte
rapide
Décret confidentialité, 23 janvier 2009 13
Direction du Système d’Information et Analyse de gestion
QUESTIONS ?