Onze établissements accélèrent la convergence de leurs systèmes d’information : le Centre Hospitalier de Saint-Quentin relève le défi des GHT avec Palo Alto Networks
En janvier 2016 entrait en vigueur la loi sur les Groupements Hospitaliers de Territoire : partout en France, dès juillet 2016, par convention, les établissements publics de santé d’un même territoire s’engageaient à se coordonner autour d’une stratégie de prise en charge commune et graduée du patient, répondant aux besoins de la population formalisée dans un projet médical partagé
Pour le Centre Hospitalier de Saint-Quentin, désigné établissement support du groupement hospitalier de territoire Aisne Nord Haute-Somme (GHT ANHS), et comme pour bien d’autres en France, cela signifie devoir renforcer les coopérations inter-établissements, uniformiser les outils de travail et mutualiser certaines fonctions support.
Au premier rang de ces problématiques, est concernée la mutualisation des Systèmes d’Information !
Sur le GHT ANHS, ce sont onze établissements qui participent à cette réorganisation. « La loi nous impose d’avoir une seule équipe IT pour gérer les 11 établissements qui composent désormais le GHT Aisne-Nord Haute-Somme. Le premier chantier de cette équipe a été d’interconnecter tous les sites et de sécuriser les flux », explique Jean-Baptiste Gard, Responsable Infrastructure Réseau et Téléphonie du Centre Hospitalier de Saint-Quentin.
Les enjeux : critiques
Compte tenu des enjeux de sécurité propres au domaine médical, il n’est pas question de prendre le moindre risque. D’autant que l’environnement est complexe : « Cela nous demande, concrètement, d’ouvrir des flux dans tous les sens ! Entre chaque établissement, bien sûr, mais aussi plus spécifiquement entre de nombreuses applications et de nombreux services potentiellement critiques : le Help Desk, par exemple, a la capacité de prendre le contrôle à distance sur les postes de chaque hôpital, depuis les onze établissements. Sans parler des besoins d’accès distants à des applications médicales forcément sensibles », poursuit Jean-Baptiste Gard.
Le centre hospitalier héberge en effet des applications métiers critiques auxquelles peuvent se connecter ses propres médecins en déplacement dans d’autres établissements. Mais il héberge également des applications de type DPI (dossier patient informatisé) dans le cadre de collaborations avec d’autres sites, qui s’appuient alors sur son infrastructure pour mener à bien leurs missions. « Cela implique, en définitive, de contrôler finement beaucoup de flux applicatifs, des bases de données, des flux web pour certaines applications dites « légères », et même des flux métiers d’imagerie médicale utilisés en téléradiologie », précise Jean-Baptiste Gard.
Le choix : sans surprise
Face à de telles contraintes, il devient évident de devoir réévaluer les politiques d’interconnexion et de filtrage des flux, et en particulier d’équiper chaque site distant afin qu’il soit en mesure de s’interconnecter avec les autres établissements, et ne pas devenir le maillon faible du futur ensemble. D’autant plus que le nouveau GHT dispose d’un accès au réseau Inter-hospitalier mais ne dispose pas d’un accès centralisé à Internet : chaque site est donc ouvert vers l’extérieur, et donc potentiellement plus vulnérable, car plus accessible.
Face à ce défi, le Centre Hospitalier de Saint-Quentin ne part pas de zéro. Le service IT avait déjà anticipé le regroupement : l’antique pare-feu central, qui n’était plus jugé à la hauteur, a déjà été remplacé par une solution Palo Alto Networks (deux pare-feux en actif/passif). « Nous avons fait ce choix pour les capacités d’analyses renforcées et la certification ANSSI des solutions, ce qui nous assure que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé, et résistent aux attaques d’un niveau déterminé » justifie Jean-Baptiste Gard. Mais ce n’est pas tout, car le responsable réseau a un autre atout dans sa manche : « Nous avions acquis, préventivement, une licence Panorama, la console d’administration centralisée des équipements Palo Alto Networks ».
Panorama va alors devenir la clé de voute de la gouvernance sécurité du nouveau GHT. La console permet au centre hospitalier de déployer sur tous les sites des politiques de sécurité globales et cohérentes, à partir d’un point central et sans risque d’erreur humaine. « Nous avons commencé avec trois établissements-pilotes, en poussant des politiques génériques de type antivirus et QoS et en nous focalisant sur quelques applications-clés, dont le Help Desk. Avec comme priorité de protéger les interfaces Internet vers le LAN et Réseau Inter-Hospitalier vers LAN », détaille Jean-Baptiste Gard.
Icono_Palo-alto_Panorama GHT-190819-3La question de généraliser ou non les solutions Palo Alto Networks s’est ainsi finalement réglée d’elle-même : « Nous avons certes brièvement envisagé de tester d’autres solutions, mais outre le fait que nous étions vraiment séduits par l’efficacité de la console Panorama, nous avons aussi été rebutés par la complexité des autres solutions en comparaison. Et puis nous avons aussi été rassurés par l’accompagnement et la disponibilité des ingénieurs Palo Alto Networks », se souvient Jean-Baptiste Gard.
Le déploiement : simplifié
L’équipe IT s’est appuyée sur les politiques de sécurité testées depuis deux ans à Saint-Quentin afin de réduire les faux positifs – il n’y en aura d’ailleurs pas au final. Ainsi, avec l’aide de l’intégrateur du GHT, la collaboration des responsables de sites distants (qui connaissent mieux leurs flux spécifiques) et le support des experts Palo Alto Networks, le déploiement a eu lieu, à raison de 4 jours par site, sans rencontrer d’incident majeur.
Dès qu’un site était équipé, les premières politiques de sécurité lui étaient poussées directement depuis Panorama. En retour, toujours depuis la console, il est possible de superviser la totalité des sites déployés.
« Nous avons aujourd’hui un modèle de gouvernance hybride : les principales politiques sont déployées en central grâce à Panorama, mais les équipes locales peuvent les adapter si besoin, bien qu’il n’y ait pas eu de gros besoins en ce sens dans l’immédiat », détaille Jean-Baptiste Gard.
Pour faire monter les équipes en compétence et leur permettre de s’approprier les politiques de sécurité, un groupe de travail a été créé afin d’accompagner leur mise en place, mais aussi de définir en commun de nouvelles politiques.
Le bilan
Désormais entièrement équipés et connectés, tous les sites du GHT ANHS sont protégés par les équipements Palo Alto Networks à la fois sur leur périmètre Internet, mais aussi grâce à un réseau inter-hospitalier interne pour les échanges métiers (les solutions gèrent les deux). Et l’ensemble est administré de manière parfaitement centralisée.
Ce sont au total 20 pare-feux qui connectent et protègent les 11 sites, ainsi que deux sites rattachés au centre hospitalier de Guise. Par ailleurs, et dans une logique de consolidation des composants de Sécurité du GHT, 4400 postes de travail sont protégés par Traps, l’outil Endpoint Detection & Response (EDR) de Palo Alto Networks, qui assure une protection contre les nouvelles menaces (Ransomware par exemple) et permet de centraliser, là aussi, la protection des postes de travail. Avec cette approche, le GHT est protégé à 360°.
À terme, l’innovation sera au cœur du système de Sécurité avec la solution Cortex de Palo Alto Networks en cours d’expérimentation au CH de Saint Quentin. En effet, celle-ci pourrait venir corréler toutes les informations IT (Système et Réseaux) afin de détecter les signaux faibles ou les comportements suspects via du Machine Learning et de l’IA. Ainsi les équipes techniques pourront comprendre et réagir plus efficacement lors d’un incident de sécurité : Le début d’un SOC pour le GHT ANHS !
En central, l’équipe IT du Centre Hospitalier dispose désormais d’une vision globale du niveau de sécurité de chaque site distant, avec la capacité de faire évoluer ses politiques de sécurité de manière unifiée et d’intervenir si nécessaire. Elle y a également fortement gagné en visibilité : « Nous savons désormais immédiatement quelles applications sont utilisées sur notre SI pourtant très distribué, avec une vue sur la volumétrie des échanges et le tout classé par application, par contenu ou par utilisateur. Et nous sommes en mesure de croiser l’ensemble avec les menaces associées (nombre de menaces, indices de risque, etc.). Cela à volonté et pour chaque site ! », explique Jean-Baptiste Gard.
Les sites distants, quant à eux, sont satisfaits d’être ainsi reliés de manière sécurisée et de bénéficier de politiques de sécurité centrales déjà testées et validées. En définitive, eux qui jusqu’à présent ne faisaient que du filtrage protocolaire observent désormais une augmentation significative de leur niveau de sécurité grâce au filtrage applicatif dont ils bénéficient. « C’est clairement une opération gagnant-gagnant », conclut Jean-Baptiste Gard.
