Télécharger la présentation
1
Décret confidentialité, 23 janvier 2009
Retour d’expérience du CHU d’ANGERS Projet « contrôle des accès logiques » Richesse des profils devrait donner des échanges intéresssants Pas de vérité universelle Décret confidentialité, 23 janvier 2009 F. TESSON, RSSI
2
Le Contexte en quelques chiffres
1458 lits et places, 3 sites (Larrey, St Barthélémy, maison d’arrêt) 6 000 agents (dont 850 médicaux et pharmaceutiques) 1 100 étudiants 2 650 PC 4 900 comptes utilisateur 150 applications Décret confidentialité, 23 janvier 2009
3
Décret confidentialité, 23 janvier 2009
Le contexte du SIH Applications majeures : Mc Kesson : Noyau, EVRH, GAM, GEF, CROSSWAY (2007), URQUAL (2008) PACS (2006, Fuji) Système de Gestion des Laboratoires (2007, GLIMS, Cyberlab) Ultragenda Infrastructure logicielle : EAI (2007, Synchronie/AXWAY) Infrastructure de production : 60 serveurs physiques (AIX, Windows), baies SAN (72 To) Virtualisation des machines (VMware) Décret confidentialité, 23 janvier 2009
4
Projet « sécurisation des accès » :Chronologie
1998 2003 2005 2006 2008 2009 GSTT(1) Windows 95 Windows XP SIMS(2) SGL(3) Choix supports base sécurité 1 ère Qualification Authentification forte 2 ème Qualification Poste de travail Déploiement solution (avec SSO) Évolution base sécurité (FUS) 323 4 800 5 881 6 062 6 861 7 000 409 1 241 1 390 2 800 Cadres de santé et administratifs Postes dédiés et consultation Gestion Souple du Temps de Travai Système d’Information Médical et de Soins Système de Gestion des Laboratoires Décret confidentialité, 23 janvier 2009
5
Usages de la carte CPS/CPE
Contrôle d’accès au système d’information hospitalier Contrôle d’accès à la plate-forme régionale Contrôle physique des accès aux locaux (site pilote) Badgage gestion du temps de travail (pointage) Paiement restaurant des agents et étudiants (réévaluateurs, phase pilote) Gestion sécurisée des flux de données avec les partenaires externes (certificat GIP-CPS) Décret confidentialité, 23 janvier 2009
6
Principes de la politique des accès
Tous les accès, à partir d’un poste de travail connecté au système de gestion de l’établissement, doivent être effectués par authentification forte Une seule autorité de certification (GIP-CPS) Un seul support d’authentification pour l’ensemble des usages (carte CPS/CPE) L’authentification forte est indépendante des postes de travail (itinérance) Centraliser dans une base sécurité la gestion des autorisations (habilitations, privilèges) et des supports d’authentification Assurer la continuité du service sécurité pour ne pas perturber le processus de production de soins Enregistrer les accès aux ressources (Audit) Décret confidentialité, 23 janvier 2009
7
Politique d’autorisation
Architecture (IAM(1)) I D E N T S I N T E R F A C S Organisation I N T E R F A C S Bases des comptes applications Base sécurité Politique d’autorisation Politique des accès Habilitations Autorisations Privilèges Supports authentification Paramètres Sessions Horaires,Rôles … Audits IAM = Identity and Access Management = gestion des identités et des accès Décret confidentialité, 23 janvier 2009
8
Décret confidentialité, 23 janvier 2009
Architecture (IAM(1)) GAM GEF URQUAL Crossway Noyau REF EVRH E A I P o n t Base sécurité P o n t E A I GLIMS Arccam GESTOR Cyberlab AD Commande GIP-CPS Intégration GIP-CPS IAM = Identity and Access Management = gestion des identités et des accès EAI = Enterprise Application Integration = intégration d’applications d’entreprise Décret confidentialité, 23 janvier 2009
9
Organisation « contrôle des accès logiques »
Processus gestion de projet Projet transversal Comité de pilotage (directions fonctionnelles) Pilotage du marché (Service informatique) Processus de remise des cartes (face à face) Implication DRH et DAM Implication des écoles (IFSI) Processus de continuité de service Gestionnaires de proximité Processus de commande des cartes Décret confidentialité, 23 janvier 2009
10
Projet « sécurisation des accès » en quelques chiffres
2 040 postes sécurisés / PC soit 77% 2 526 utilisateurs « sécurisés » / comptes 7 125 cartes dont 2089 CPS, 120 CPF, 4916 CPE,dont 1650 cartes de service habilitations, 140 applications 162 gestionnaires de proximité Processus Carte CPS / Habilitation = Investissement de €, 0,7 ETP sur 10 ans Fonctionnement = €/an, 1,5 ETP Décret confidentialité, 23 janvier 2009
11
Décret confidentialité, 23 janvier 2009
Perspectives Intégration du changement de contexte rapide (postes de travail unités de soins, paillasses et Urgences) Généralisation à tout l’établissement Evolution du logiciel Workflow des habilitations (automatisme dans 80% des cas habilitations métier) Mise en œuvre du « sans contact » (nouvelle carte IAS GIP-CPS, mode d’usage « Urgences ») Création d’un « espace de confiance » (cadre de la plate-forme régionale protocole SAML V2) Décret confidentialité, 23 janvier 2009
12
Décret confidentialité, 23 janvier 2009
Retour d’expérience PERSEVERANCE à toute épreuve Élaborer et valider une politique ENGAGEMENT CONDUITE DU CHANGEMENT dont la sensibilisation des acteurs à la sécurité des systèmes d’information Implication de la DRH/DAM et des gestionnaires délégués Architecture technique : Le choix des prestataires est déterminant AUTOMATISATION des procédures Maîtriser les flux de données Intégration de la mobilité et du changement de contexte rapide Décret confidentialité, 23 janvier 2009
13
Décret confidentialité, 23 janvier 2009
QUESTIONS ? Décret confidentialité, 23 janvier 2009
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.