Gestion des identités et contrôle des accès : un impératif pour le secteur de la santé

0
56
Les nouvelles législations autour de la gestion des accès et de la donnée de santé accompagnent l’évolution croissante de la digitalisation dans un hôpital devenu plus performant, mais aussi plus sensible aux attaques. Un challenge de taille pour les établissements de santé en pleine course à l’équipement.

En 2007, un premier décret, incitatif, mais non obligatoire, poussait les hôpitaux à mettre en place des solutions de sécurisation et de gestion de leurs accès aux systèmes d’information.

En mars dernier, un nouveau décret, opposable cette fois- ci, portant le référentiel d’identification électronique, oblige désormais les établissements accueillant des services ditssensibles, à posséder une brique SSO et un système de gestion des identités. Ce décret accompagné d’un agenda strict, a créé une vague de consultations de la part des établissements de santé qui, depuis six mois, s’affairent pour être dans les temps.

 

La fin justifie les moyens, et c’est quarante-cinq millions d’euros supplémentaires qui ont été débloqués par le gouvernement depuis 2021, pour dynamiser et soutenir la transformation des services informatiques hospitaliers, jusqu’alors parent pauvre de l’hôpital.

 

Une transformation de taille, qui demande un accompagnement personnalisé et une expertise importante pour manager cette petite révolution structurelle.

 

Entrée chez KNS il y a dix ans en tant qu’intégratrice, Sarah Edimbourg est aujourd’hui directrice de l’équipe commerciale de l’entreprise qui fête, elle, ses vingt ans. Spécialisée dans la gestion des identités et des accès, KNS compte plus de 180 clients dont 150 établissements de santé. « Notre rôle est d’aider les entreprises à faire le lien entre leurs besoins en tant qu’établissement de santé et les outils des éditeurs de logiciels. Trouver la juste organisation, la juste structure, pour aller vers l’autonomisation. », explique Sarah Edimbourg. L’entreprise travaille d’un bout à l’autre de la chaîne, en partant de l’audit et l’aide au choix de solution jusqu’à la mise en œuvre, la gestion organisationnelle, la maintenance, le support et parfois même, son exploitation. Elle travaille également en amont pour définir les attendus législatifs. Sarah Edimbourg a ainsi récemment travaillé avec l’ANS lors des consultations pour la rédaction du référentiel d’identification électronique.

 

Pour s’assurer de proposer à ses clients un service efficace, KNS a mis au point K-THODE, une méthodologie industrielle de mise en œuvre de solution IAM et SSO. Celle-ci a notamment été nommée aux Talents de la e-santé 2021 dans la catégorie Cybersécurité. Cette méthodologie permet de mettre en œuvre les logiciels de la plupart des éditeurs du marché. KNS peut ainsi de proposer la meilleure solution au client en fonction de ses besoins.

La société met en œuvre des moyens d’authentification forte faciles à prendre en main par les utilisateurs. Parmi ceux-ci, le plus utilisé, la carte CPx (CPS, CPE…) fonctionne en mode contact ou sans-contact, elle est liée à un code PIN, avec un nombre d’utilisations sans-contact consécutives limité. Son utilisation ressemble donc beaucoup à celle de la carte bancaire, ce qui permet une appropriation quasi-immédiate par les personnels des établissements.

« À l’arrivée sur leurs postes, les utilisateurs passent leur carte CPx dans le lecteur, puis entrent un code PIN à quatre chiffres. La session s’ouvre et tous les mots de passe sont saisis automatiquement lors des accès aux différents portails et logiciels. C’est un laissez-passer automatique, mais très sécurisé. Cela permet de mettre en place des mots de passe complexes, de pouvoir les changer régulièrement pour augmenter la sécurité, et ce, sans même que l’utilisateur ait à les connaître. » , continue la directrice commerciale.

 

GAIN DE TEMPS ET RENFORCEMENT DE LA SÉCURITÉ

 

Le travail de sécurisation effectué à l’Alurad, association de gestion de différents centres de dialyse et de dialyse à domicile, a permis de renforcer la sécurité du système d’information tout en simplifiant la vie des utilisateurs, deux objectifs habituellement considérés comme incompatibles : « Nous utilisons aujourd’hui deux outils mis en place par KNS. Le premier sur la partie SSO, avec la mise en place de cartes CPE et CPS pour fortifier l’authentification et qui nous permettent d’en finir avec la gestion, très problématique, des mots de passe pour chaque utilisateur et chaque poste. Le deuxième est un outil d’IAM qui nous sert à manager les mouvements du personnel. », témoigne Bruno Sazerat, responsable de la DSI à l’Alurad.

 

Un outil d’IAM permet à la fois de gérer les identités, les habilitations et le provisioning des comptes. « Nous mettons en place un annuaire unique agrégeant les informations d’identités de toutes les personnes susceptibles d’accéder au SIH, qu’elles soient issues du logiciel RH, ou saisies manuellement : agents, intérimaires, prestataires, vacataires, etc. Cela permet aux services informatiques d’automatiser le cycle de vie des personnes et de leurs habilitations en fonction de différents critères (métiers, services, etc.) et donc de leurs comptes dans les différents logiciels. Cela permet de s’assurer que seuls les comptes nécessaires sont actifs.», précise Sarah Edimbourg.

Une collaboration et un partenariat de confiance dans lequel s’est également lancé le CHU de Grenoble, client de l’entreprise depuis huit ans. « Le CHU a été éditeur pendant de nombreuses années de son propre DPI, Cristal link, ainsi que d’un outil IAM. Cependant, il avait l’avantage de ses inconvénients et demandait de réaliser des cas d’accès d’exceptions tous les jours. Nous avons donc basculé sur un marché de gestion des identités proposé par UNIHA (Union des hôpitaux pour les achats) et avons fait le choix de la solution portée par la société Axians (anciennement APX), qui s’appuyait sur KNS comme prestataire et Systancia comme éditeur. », complète André Le Scouarnec, responsable du secteur collaboratif à la DSI du CHU de Grenoble. « KNS nous a aidé à développer toutes les autorisations, les habilitations, la gestion des accès particuliers, -faut-il un accès parking, un accès à tel ou tel bâtiment, sur quels types de logiciels, etc-. Nous avons bâti main dans la main des modèles et des types de droits automatisés qui correspondent à nos besoins. KNS nous a également aidé à développer les connecteurs nécessaires à l’alimentation du DPI, et aujourd’hui, c’est vingt-quatre connecteurs qui sont alimentés depuis l’outil central, Hpliance. », précise André Le Scouarnec. Dernièrement, KNS a également accompagné le CHU dans le choix de sa solution de gestion des accès : Sign&Go d’Ilex.

 

Une collaboration de proximité plébiscitée par les clients. « Une fois que le projet est terminé, nous nous occupons du support et nous proposons également un système de ticketing. La personne qui s’est occupée de la mise en œuvre d’un projet est celle qui accompagnera l’établissement en cas de problèmes, pour garder un fil conducteur et une expertise. Nous sommes en 100 % télétravail depuis 2015 et sommes dispersés un peu partout en France. Nos intégrateurs peuvent ainsi se déplacer chez les clients rapidement, si besoin. », ajoute Sarah Edimbourg. Côté déploiement, même combat. KNS procure aux DSI tous les outils nécessaires au déploiement de ses solutions et à l’accompagnement des utilisateurs sur l’ensemble d’un établissement ou d’un GHT, mais peut également réaliser elle- même l’ensemble de la prestation… « Nous sommes en lien en permanence. Les équipes sont très accessibles. Sur la partie SSO, nous continuons à travailler ensemble pour la synchronisation des modifications des mots de passe, plus rapidement encore. Nous travaillons également à l’évolution de la partie IAM, en cherchant à automatiser la création et la modification des accès. », conclut Bruno Sazerat.

 

Carla Bernini

012SIHMAGv01p84-85b

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici