La compréhension du décret

22
Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF

description

Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet. Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF. La compréhension du décret. La compréhension du décret. - PowerPoint PPT Presentation

Transcript of La compréhension du décret

Page 1: La compréhension du décret

Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF

Page 2: La compréhension du décret

2 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

La compréhension du décret

Page 3: La compréhension du décret

3 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

La compréhension du décret

Garantir que seules les personnes habilitées accèdent aux informations personnelles à caractère médical : Connaître les gens de son établissement Connaître leur rôle Connaître ses applications informatiques Définir les droits des personnels sur ses applications Adapter les applications aux modes d’authentification

Gestion des identitésGestion des habilitationsEvolution des applicationsDéploiement de matériel

Page 4: La compréhension du décret

4 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

La démarche générale

Implication de l’Institut Curie autour des projets de Sécurité des Systèmes d’Information depuis plusieurs années : Participation aux travaux du GMSIH sur la PSI (2005) Rédaction et Mise en œuvre d’une PSI : évaluation des risques SI, plan d’action, suivi,

mise en œuvre de solutions techniques et organisationnelles Participation active à la mise en place d’une PSI cadre pour les Centres de la FNCLCC

Page 5: La compréhension du décret

5 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le projet

Participation initiale à l’étude GIP-CPS sur les cas d’usage de la carte CPx en établissement, fin 2006 => faire connaître les besoins des ES en authentification/signature/chiffrement, et les contraintes apportées par un dispositif qui serait inadapté

Poursuite de ce travail par une participation à l’expérimentation au décret Confidentialité, parmi les 24 établissements retenus (2 en IdF)

Proposition de projet 2008, validé en Comité Directeur Informatique fin 2007 Nécessité de borner le projet dans le temps et le périmètre fonctionnel Nécessité de bénéficier d’un « sponsor » fort (Comité de Direction) Définition d’un groupe projet associant DSI et utilisateurs => acceptation du projet

Page 6: La compréhension du décret

6 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le projet

3 phases : Cadrage de l’étude, accompagné par une société de conseil spécialisée en sécurité :

1er semestre 2008 Définition du cahier des charges et consultation : 2ème semestre 2008 Déploiement solution sur un service pilote : 1er semestre 2009

Page 7: La compréhension du décret

7 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le cadrage de l’étude

Définition des contraintes « utilisateurs » et « techniques » Liste, Description et Mode d’authentification des applications Description des cas d’usage : multi-postes, multi-utilisateurs, multi-applicatifsComparaison Avantages / Inconvénients des différentes solutions possibles par sous-chantier : La gestion de l’identité et le provisioning des comptes (et des habilitations) La nature du badge, et la gestion des certificats Le type de SSO L’annuaire-référentiel de sécurité Le mode d’authentification La gestion de la signature électronique

Page 8: La compréhension du décret

8 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Les contraintes apportées

Authentification et signature conformes aux recommandations du GIP-CPS

Attention portée à l’ergonomie et confort d’usage, au risque d’oubli

Exigence sur les performances et la disponibilité

Solution de SSO : Accès multi-sessions Changement rapide d’utilisateur Gestion du délai d’inactivité Compatible avec les référentiels existants (Notes, AD)

Page 9: La compréhension du décret

9 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Les cas d’usage

Chambre des patients

Bureau des assistantes

Bureau du cadre de soin

Bureau des internes

Poste de soins

Bloc opératoire

Salle de consultation

Bureau des médecins

SoignantsAssistantes médicales

Médecins

Postes avec accès unique Postes avec accès multi-sessions

Page 10: La compréhension du décret

10 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Les accès aux applications

Application webClient lourd

DME

Fichier .id de

IBM Lotus Notes*(stocké sur un disque

réseau)

Base de comptes

dédiée*

Microsoft

Active Directory*

Agenda bloc

Genesys

IBM Lotus Notes

Circuit Patient

Staff

Medisurf

QPlanner

GEC

Prescription

Peps

Accès à Internet

Prométhée

Elios

SoignantsAuthentification

(* par login/mot de passe)Assistantes médicales

Médecins

.id

Page 11: La compréhension du décret

11 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le schéma cible

Applications cibles

Applicationweb

Applicationmétier

Messagerie

I DMService de gestion des identités et des

habilitations

SSO (Single Sign-On)

Service d’authentification unique

Authentification Signature électronique

Poste de travail

Support physique Nouvelles briques

Page 12: La compréhension du décret

12 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le provisioning et la gestion des identités

Moteur IDM

Moteur d’habilitations

XML

Active Directory

Lotus Notes

Sun One DS

Saisie manuelle

HRVAdonix

Rhapsody

Externes

Une identité ‘qualifiée’ par la DRH à l’arrivée du collaborateur est traduite automatiquement en un (ou plusieurs) compte applicatif associé à un ensemble de droits homogènes par métier/service

Page 13: La compréhension du décret

13 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le badge : avec ou sans contact ?

Badge avec contact Badge sans contact

Avantages

Niveau de sécurité élevéSupport d’authentification offert par le GIP « CPS »Solutions bons marchés

Réduction des manipulations par l’utilisateurÉvite l’oubli de la carte dans le lecteurPermet un retour d’expérience pour l’expérimentation

Inconvénients

Manque d’ergonomie pour le mode multi-sessions applicativesRisque de rejet de la solution par les utilisateursUsure rapide du visuel graphique

Opérations cryptographiques plus lentesManque de maturité des technologies et des solutions

Page 14: La compréhension du décret

14 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Les certificats embarqués

Le GIP « CPS » génère les bi-clés L’Institut Curie génère les bi-clés

Avantages

Conformité aux exigences GIP « CPS » assuréeLe GIP « CPS » garantit l’accès à l’annuaire des certificats d’utilisateurs et la gestion des CRLsBénéficie du retour d’expérience du GIP « CPS »

En vue d’une utilisation expérimentale, la dépendance aux validations et fournitures GIP « CPS » est moins grande

InconvénientsLivraison des codes d’activation par pli sécurisé

Risque de compromission des clés plus élevéOrganisation supplémentaire à prévoir avec le prestataire, acteur intermédiaire

Page 15: La compréhension du décret

15 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Quelle authentification ?

Authentification complèteAuthentification utilisant un ‘secret’ en plus du

support physique

Authentification mixteAuthentification n’utilisant pas de ‘secret’ mais effectuant une action de cryptographie grâce au

support physique

AvantagesRisque d’usurpation d’identité très faible

Manipulations d’authentification simples et rapides, pour les accès répétésMeilleur compromis sécurité/simplicité d’utilisation

InconvénientsManipulations d’authentification plus complexes et contraignantes, à chaque accès à un poste de travail

Risque faible à non négligeable d’usurpation d’identité en cas de tentative d’accès sur le poste en cours d’utilisation par le détenteur du badge dérobé

Page 16: La compréhension du décret

16 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le SSO

webSSO eSSO

Avantages

Coûts limités, voire pas de coûts si l’institut Curie dispose déjà de licences de la solution de webSSO SUNNiveau de sécurité élevéSimplicité de la solution

Solution non intrusiveInclus la gestion de la carte à puce pour l’authentificationTous les types d’applicationsDéploiement simplifiéEn ligne avec les attentes de l’Institut Curie

Inconvénients

SSO uniquement sur des applications webCoût d’entrée important pour l’infrastructure (architecture de serveurs, licences)Mise en œuvre spécifique nécessaire du Windows Smart Card Logon

Impose l’installation d’un composant d’accès sur les postes de travail

Page 17: La compréhension du décret

17 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le référentiel de sécurité

Active Directory LDAP

Avantages

Réutilisation de l’infrastructure AD existanteCapitalisation sur les compétences internesPopulations cibles déjà présentes dans le référentiel ADMise à profit de la gestion des utilisateurs de l’ADHaute disponibilité et respect des exigences de qualité de service assurées par l’infrastructure AD existante

Aucun impact sur l’infrastructure AD

Inconvénients

Nécessité d’étendre le schéma de l’AD (retour arrière en cas d’abandon du SSO ?)Complexité d’exploitation/ de maintien en cas d’évolution de l’infrastructure AD ou de la solution de SSO

Tout à construire : une infrastructure spécifique est à mettre en place respectant les exigences de qualité de service attendues, sauf à réutiliser l’annuaire PB/PJ SUN déjà en place.Nouveaux serveurs et composants à exploiter et maintenirNécessité d’un outil de synchronisation des comptes utilisateurs entre AD et LDAP

Page 18: La compréhension du décret

18 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

La signature

Outil intégré à DME Outil externe

AvantagesCréation de la signature électronique quasiment transparente pour l’utilisateurFlexibilité de la solution

Offre l’opportunité d’expérimenter la signature électronique avec d’autres utilisateurs et d’autres documentsImpacts sur l’existant limités

InconvénientsNécessite une évolution de l’application DME

Nécessite un export dans un format de documentComplexité du processus de création de la signature électroniqueRisque de rejet de la solution par les utilisateurs

Page 19: La compréhension du décret

19 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Les orientations retenues

Applications cibles

Autres applications

eSSO

Solution basée sur des mots de passe secondaires

Authentification

Poste de travail

Badge sans contact

Lecteur de carte Bi-clés générés par le GIP « CPS »

Certificats embarqués par le soumissionnaire

Signature électronique

DME

Active Directory

Changement de mot de passe secondaire

manuelFichier d e configuration

Conteneurde mot s de passe SSO

APP1:ID 1:MDP1APP2:ID 2:MDP2APP3:ID 3:MDP3

35 utilisateurs60 postes de travail10 applications

Objectif déploiement : dans un service pilote, déployer une carte d’établissement sans contact, embarquant des certificats CPx, pour l’authentification et la signature applicative, dans un contexte de postes multi-utilisateurs, en associant le déploiement d’une solution de SSO

Page 20: La compréhension du décret

20 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Le planning du déploiement de la solution

Service

Cartes à pucesDemande de certificats auprès du GIP « CPS »

Etapes projet

Embarquement des certificats

Délivrance des cartes

Lecteurs de cartes

Installation des lecteurs

Installation du middleware

T0 + 3 sem.

Déploiement de la solution

Déploiement des scriptsSolution de

SSO

Formation des équipes informatiques

Accompagnement des utilisateurs

Tâchesmutualisées

Démarrage : T0

T0 + 5 sem.

T0 + 9 sem.

T0 + 8 sem.

T0 + 6 sem.

Page 21: La compréhension du décret

21 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Conclusion projet

Projet long, aux composantes techniques et organisationnelles complexes

Permet de définir : des outils adaptés à la pratique sur des cas d’usage réels un circuit de validation des identités en associant DSI, DRH et PS des habilitations homogènes dans le SIH

Plusieurs orientations possibles, liées à : la volonté d’utiliser ou non des cartes multi-usages la volonté de doter ou non tous les personnels d’une carte CPx la capacité de l’ES à gérer une PKI (embarquement de certificats) l’intégration ou non d’une solution de SSO (lié à l’environnement applicatif intégré vs

dispersé)

Page 22: La compréhension du décret

22 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité

Conclusion générale

Projet structurant pour l’établissement de soins

Projet nécessaire à la croissance et à l’ouverture du SI, car il en garantit la sécurité de façon transverse, homogène et indépendante à l’ES

Projet qui s’inscrit dans la logique de la communication des SI : DMP, DCC, réseaux, messagerie sécurisée…

Ouverture et transparence des échanges doivent s’appuyer sur une confiance forte en leurs acteurs et leurs droits (loi 4 mars 2002 droits des malades, loi août 2004 DMP, loi mars 2000 droit de la preuve aux TIC)