La compréhension du décret
-
Upload
ignatius-bates -
Category
Documents
-
view
40 -
download
0
description
Transcript of La compréhension du décret
Sécurisation des accès aux informations médicales à caractère personnel : les composantes du projet Conférence « MISE EN ŒUVRE DU DECRET DE CONFIDENTIALITE DANS LES ETABLISSEMENTS DE SANTE » du 9 septembre 2008 - SISIF
2 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
La compréhension du décret
3 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
La compréhension du décret
Garantir que seules les personnes habilitées accèdent aux informations personnelles à caractère médical : Connaître les gens de son établissement Connaître leur rôle Connaître ses applications informatiques Définir les droits des personnels sur ses applications Adapter les applications aux modes d’authentification
Gestion des identitésGestion des habilitationsEvolution des applicationsDéploiement de matériel
4 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
La démarche générale
Implication de l’Institut Curie autour des projets de Sécurité des Systèmes d’Information depuis plusieurs années : Participation aux travaux du GMSIH sur la PSI (2005) Rédaction et Mise en œuvre d’une PSI : évaluation des risques SI, plan d’action, suivi,
mise en œuvre de solutions techniques et organisationnelles Participation active à la mise en place d’une PSI cadre pour les Centres de la FNCLCC
5 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le projet
Participation initiale à l’étude GIP-CPS sur les cas d’usage de la carte CPx en établissement, fin 2006 => faire connaître les besoins des ES en authentification/signature/chiffrement, et les contraintes apportées par un dispositif qui serait inadapté
Poursuite de ce travail par une participation à l’expérimentation au décret Confidentialité, parmi les 24 établissements retenus (2 en IdF)
Proposition de projet 2008, validé en Comité Directeur Informatique fin 2007 Nécessité de borner le projet dans le temps et le périmètre fonctionnel Nécessité de bénéficier d’un « sponsor » fort (Comité de Direction) Définition d’un groupe projet associant DSI et utilisateurs => acceptation du projet
6 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le projet
3 phases : Cadrage de l’étude, accompagné par une société de conseil spécialisée en sécurité :
1er semestre 2008 Définition du cahier des charges et consultation : 2ème semestre 2008 Déploiement solution sur un service pilote : 1er semestre 2009
7 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le cadrage de l’étude
Définition des contraintes « utilisateurs » et « techniques » Liste, Description et Mode d’authentification des applications Description des cas d’usage : multi-postes, multi-utilisateurs, multi-applicatifsComparaison Avantages / Inconvénients des différentes solutions possibles par sous-chantier : La gestion de l’identité et le provisioning des comptes (et des habilitations) La nature du badge, et la gestion des certificats Le type de SSO L’annuaire-référentiel de sécurité Le mode d’authentification La gestion de la signature électronique
8 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Les contraintes apportées
Authentification et signature conformes aux recommandations du GIP-CPS
Attention portée à l’ergonomie et confort d’usage, au risque d’oubli
Exigence sur les performances et la disponibilité
Solution de SSO : Accès multi-sessions Changement rapide d’utilisateur Gestion du délai d’inactivité Compatible avec les référentiels existants (Notes, AD)
9 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Les cas d’usage
Chambre des patients
Bureau des assistantes
Bureau du cadre de soin
Bureau des internes
Poste de soins
Bloc opératoire
Salle de consultation
Bureau des médecins
SoignantsAssistantes médicales
Médecins
Postes avec accès unique Postes avec accès multi-sessions
10 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Les accès aux applications
Application webClient lourd
DME
Fichier .id de
IBM Lotus Notes*(stocké sur un disque
réseau)
Base de comptes
dédiée*
Microsoft
Active Directory*
Agenda bloc
Genesys
IBM Lotus Notes
Circuit Patient
Staff
Medisurf
QPlanner
GEC
Prescription
Peps
Accès à Internet
Prométhée
Elios
SoignantsAuthentification
(* par login/mot de passe)Assistantes médicales
Médecins
.id
11 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le schéma cible
Applications cibles
Applicationweb
Applicationmétier
Messagerie
I DMService de gestion des identités et des
habilitations
SSO (Single Sign-On)
Service d’authentification unique
Authentification Signature électronique
Poste de travail
Support physique Nouvelles briques
12 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le provisioning et la gestion des identités
Moteur IDM
Moteur d’habilitations
XML
Active Directory
Lotus Notes
Sun One DS
Saisie manuelle
HRVAdonix
Rhapsody
Externes
Une identité ‘qualifiée’ par la DRH à l’arrivée du collaborateur est traduite automatiquement en un (ou plusieurs) compte applicatif associé à un ensemble de droits homogènes par métier/service
13 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le badge : avec ou sans contact ?
Badge avec contact Badge sans contact
Avantages
Niveau de sécurité élevéSupport d’authentification offert par le GIP « CPS »Solutions bons marchés
Réduction des manipulations par l’utilisateurÉvite l’oubli de la carte dans le lecteurPermet un retour d’expérience pour l’expérimentation
Inconvénients
Manque d’ergonomie pour le mode multi-sessions applicativesRisque de rejet de la solution par les utilisateursUsure rapide du visuel graphique
Opérations cryptographiques plus lentesManque de maturité des technologies et des solutions
14 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Les certificats embarqués
Le GIP « CPS » génère les bi-clés L’Institut Curie génère les bi-clés
Avantages
Conformité aux exigences GIP « CPS » assuréeLe GIP « CPS » garantit l’accès à l’annuaire des certificats d’utilisateurs et la gestion des CRLsBénéficie du retour d’expérience du GIP « CPS »
En vue d’une utilisation expérimentale, la dépendance aux validations et fournitures GIP « CPS » est moins grande
InconvénientsLivraison des codes d’activation par pli sécurisé
Risque de compromission des clés plus élevéOrganisation supplémentaire à prévoir avec le prestataire, acteur intermédiaire
15 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Quelle authentification ?
Authentification complèteAuthentification utilisant un ‘secret’ en plus du
support physique
Authentification mixteAuthentification n’utilisant pas de ‘secret’ mais effectuant une action de cryptographie grâce au
support physique
AvantagesRisque d’usurpation d’identité très faible
Manipulations d’authentification simples et rapides, pour les accès répétésMeilleur compromis sécurité/simplicité d’utilisation
InconvénientsManipulations d’authentification plus complexes et contraignantes, à chaque accès à un poste de travail
Risque faible à non négligeable d’usurpation d’identité en cas de tentative d’accès sur le poste en cours d’utilisation par le détenteur du badge dérobé
16 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le SSO
webSSO eSSO
Avantages
Coûts limités, voire pas de coûts si l’institut Curie dispose déjà de licences de la solution de webSSO SUNNiveau de sécurité élevéSimplicité de la solution
Solution non intrusiveInclus la gestion de la carte à puce pour l’authentificationTous les types d’applicationsDéploiement simplifiéEn ligne avec les attentes de l’Institut Curie
Inconvénients
SSO uniquement sur des applications webCoût d’entrée important pour l’infrastructure (architecture de serveurs, licences)Mise en œuvre spécifique nécessaire du Windows Smart Card Logon
Impose l’installation d’un composant d’accès sur les postes de travail
17 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le référentiel de sécurité
Active Directory LDAP
Avantages
Réutilisation de l’infrastructure AD existanteCapitalisation sur les compétences internesPopulations cibles déjà présentes dans le référentiel ADMise à profit de la gestion des utilisateurs de l’ADHaute disponibilité et respect des exigences de qualité de service assurées par l’infrastructure AD existante
Aucun impact sur l’infrastructure AD
Inconvénients
Nécessité d’étendre le schéma de l’AD (retour arrière en cas d’abandon du SSO ?)Complexité d’exploitation/ de maintien en cas d’évolution de l’infrastructure AD ou de la solution de SSO
Tout à construire : une infrastructure spécifique est à mettre en place respectant les exigences de qualité de service attendues, sauf à réutiliser l’annuaire PB/PJ SUN déjà en place.Nouveaux serveurs et composants à exploiter et maintenirNécessité d’un outil de synchronisation des comptes utilisateurs entre AD et LDAP
18 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
La signature
Outil intégré à DME Outil externe
AvantagesCréation de la signature électronique quasiment transparente pour l’utilisateurFlexibilité de la solution
Offre l’opportunité d’expérimenter la signature électronique avec d’autres utilisateurs et d’autres documentsImpacts sur l’existant limités
InconvénientsNécessite une évolution de l’application DME
Nécessite un export dans un format de documentComplexité du processus de création de la signature électroniqueRisque de rejet de la solution par les utilisateurs
19 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Les orientations retenues
Applications cibles
Autres applications
eSSO
Solution basée sur des mots de passe secondaires
Authentification
Poste de travail
Badge sans contact
Lecteur de carte Bi-clés générés par le GIP « CPS »
Certificats embarqués par le soumissionnaire
Signature électronique
DME
Active Directory
Changement de mot de passe secondaire
manuelFichier d e configuration
Conteneurde mot s de passe SSO
APP1:ID 1:MDP1APP2:ID 2:MDP2APP3:ID 3:MDP3
35 utilisateurs60 postes de travail10 applications
Objectif déploiement : dans un service pilote, déployer une carte d’établissement sans contact, embarquant des certificats CPx, pour l’authentification et la signature applicative, dans un contexte de postes multi-utilisateurs, en associant le déploiement d’une solution de SSO
20 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Le planning du déploiement de la solution
Service
Cartes à pucesDemande de certificats auprès du GIP « CPS »
Etapes projet
Embarquement des certificats
Délivrance des cartes
Lecteurs de cartes
Installation des lecteurs
Installation du middleware
T0 + 3 sem.
Déploiement de la solution
Déploiement des scriptsSolution de
SSO
Formation des équipes informatiques
Accompagnement des utilisateurs
Tâchesmutualisées
Démarrage : T0
T0 + 5 sem.
T0 + 9 sem.
T0 + 8 sem.
T0 + 6 sem.
21 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Conclusion projet
Projet long, aux composantes techniques et organisationnelles complexes
Permet de définir : des outils adaptés à la pratique sur des cas d’usage réels un circuit de validation des identités en associant DSI, DRH et PS des habilitations homogènes dans le SIH
Plusieurs orientations possibles, liées à : la volonté d’utiliser ou non des cartes multi-usages la volonté de doter ou non tous les personnels d’une carte CPx la capacité de l’ES à gérer une PKI (embarquement de certificats) l’intégration ou non d’une solution de SSO (lié à l’environnement applicatif intégré vs
dispersé)
22 - Institut Curie/PR - Conférence SISIF 9/9/2008 - Décret confidentialité
Conclusion générale
Projet structurant pour l’établissement de soins
Projet nécessaire à la croissance et à l’ouverture du SI, car il en garantit la sécurité de façon transverse, homogène et indépendante à l’ES
Projet qui s’inscrit dans la logique de la communication des SI : DMP, DCC, réseaux, messagerie sécurisée…
Ouverture et transparence des échanges doivent s’appuyer sur une confiance forte en leurs acteurs et leurs droits (loi 4 mars 2002 droits des malades, loi août 2004 DMP, loi mars 2000 droit de la preuve aux TIC)