La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier 2009 1 Retour dexpérience du CHU dANGERS Projet « contrôle des.

Présentations similaires


Présentation au sujet: "Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier 2009 1 Retour dexpérience du CHU dANGERS Projet « contrôle des."— Transcription de la présentation:

1 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Retour dexpérience du CHU dANGERS Projet « contrôle des accès logiques » F. TESSON, RSSI

2 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Le Contexte en quelques chiffres 1458 lits et places, 3 sites (Larrey, St Barthélémy, maison darrêt) agents (dont 850 médicaux et pharmaceutiques) étudiants PC comptes utilisateur 150 applications

3 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Le contexte du SIH Applications majeures : Mc Kesson : Noyau, EVRH, GAM, GEF, CROSSWAY (2007), URQUAL (2008) PACS (2006, Fuji) Système de Gestion des Laboratoires (2007, GLIMS, Cyberlab) Ultragenda Infrastructure logicielle : EAI (2007, Synchronie/AXWAY) Infrastructure de production : 60 serveurs physiques (AIX, Windows), baies SAN (72 To) Virtualisation des machines (VMware)

4 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Projet « sécurisation des accès » : Chronologie GSTT (1) Windows 95 (1)Gestion Souple du Temps de Travai (2)Système dInformation Médical et de Soins (3)Système de Gestion des Laboratoires Windows XP Choix supports base sécurité 1 ère Qualification Authentification forte Cadres de santé et administratifs 2 ème Qualification Poste de travail Postes dédiés et consultation Déploiement solution (avec SSO) Évolution base sécurité (FUS) SGL (3) SIMS (2)

5 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Usages de la carte CPS/CPE Contrôle daccès au système dinformation hospitalier Contrôle daccès à la plate-forme régionale Contrôle physique des accès aux locaux (site pilote) Badgage gestion du temps de travail (pointage) Paiement restaurant des agents et étudiants (réévaluateurs, phase pilote) Gestion sécurisée des flux de données avec les partenaires externes (certificat GIP-CPS)

6 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Principes de la politique des accès Tous les accès, à partir dun poste de travail connecté au système de gestion de létablissement, doivent être effectués par authentification forte Une seule autorité de certification (GIP-CPS) Un seul support dauthentification pour lensemble des usages (carte CPS/CPE) Lauthentification forte est indépendante des postes de travail (itinérance) Centraliser dans une base sécurité la gestion des autorisations (habilitations, privilèges) et des supports dauthentification Assurer la continuité du service sécurité pour ne pas perturber le processus de production de soins Enregistrer les accès aux ressources (Audit)

7 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Paramètres Sessions Horaires,Rôles … Audits Supports authentification Habilitations Autorisations Privilèges Architecture (IAM (1) ) (1)IAM = Identity and Access Management = gestion des identités et des accès IDENTITESIDENTITES Base sécurité INTERFACESINTERFACES Bases des comptes des applications Politique dautorisation Politique des accès Organisation INTERFACESINTERFACES

8 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier GLIMS Arccam GESTOR Cyberlab EAIEAI Architecture (IAM (1) ) (1)IAM = Identity and Access Management = gestion des identités et des accès (2)EAI = Enterprise Application Integration = intégration dapplications dentreprise PontPont EAIEAI EVRH PontPont Base sécurité AD GAM GEF URQUAL Crossway Noyau REF Intégration GIP-CPS Commande GIP-CPS

9 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Organisation « contrôle des accès logiques » Processus gestion de projet –Projet transversal Comité de pilotage (directions fonctionnelles) –Pilotage du marché (Service informatique) Processus de remise des cartes (face à face) –Implication DRH et DAM –Implication des écoles (IFSI) Processus de continuité de service –Gestionnaires de proximité Processus de commande des cartes

10 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Projet « sécurisation des accès » en quelques chiffres postes sécurisés / PC soit 77% utilisateurs « sécurisés » / comptes cartes dont 2089 CPS, 120 CPF, 4916 CPE, dont 1650 cartes de service habilitations, 140 applications 162 gestionnaires de proximité Processus Carte CPS / Habilitation = Investissement de , 0,7 ETP sur 10 ans Fonctionnement = /an, 1,5 ETP

11 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Perspectives Intégration du changement de contexte rapide (postes de travail unités de soins, paillasses et Urgences) Généralisation à tout létablissement Evolution du logiciel Workflow des habilitations (automatisme dans 80% des cas habilitations métier) Mise en œuvre du « sans contact » (nouvelle carte IAS GIP-CPS, mode dusage « Urgences ») Création dun « espace de confiance » (cadre de la plate-forme régionale protocole SAML V2)

12 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier Retour dexpérience PERSEVERANCE à toute épreuve Élaborer et valider une politique ENGAGEMENT CONDUITE DU CHANGEMENT dont la sensibilisation des acteurs à la sécurité des systèmes dinformation Implication de la DRH/DAM et des gestionnaires délégués Architecture technique : Le choix des prestataires est déterminant AUTOMATISATION des procédures Maîtriser les flux de données Intégration de la mobilité et du changement de contexte rapide

13 Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier QUESTIONS ?


Télécharger ppt "Direction du Système dInformation et Analyse de gestion Décret confidentialité, 23 janvier 2009 1 Retour dexpérience du CHU dANGERS Projet « contrôle des."

Présentations similaires


Annonces Google