PLATEFORME PRÉSENTATION DE LA MESSAGERIE SÉCURISÉE …mss.pdf · Porte-documents • Déposer...
Transcript of PLATEFORME PRÉSENTATION DE LA MESSAGERIE SÉCURISÉE …mss.pdf · Porte-documents • Déposer...
PLATEFORME
PRÉSENTATION DE LA MESSAGERIE SÉCURISÉE
MSS
11/05/2015 – V1.0
GCS E-SANTÉ ARCHIPEL
UNE OFFRE SOLUTION GLOBALELA SANTÉ CONNECTÉE AUX SERVICES DES PATIENTS
UNE ORGANISATION EN LIGNE DE PRODUITS
Case Management
Idéo™ RCP
Idéo™ DCR
Idéo™ Périn@t
Idéo™ AVC
Idéo™ DIR
Idéo™ SP
Échange et partage
Idéo™Connect
Idéo™SSO
Idéo™SecureMail
Idéo™Directory
Idéo™Identity
Idéo™XDS
Télé médecineTélé surveillance
Idéo™Portal
Idéo™SecureMail
Idéo™ Collaboration
Suite COVOTEM ™
Idéo™Link
SI Clinique
Idéo™Med
Idéo™Identity
Idéo™GAMLink
Idéo™Dekstop
Idéo™Risk
DigitalInitiative
Idéo™Portal
Idéo™SecureMail
Idéo™
Collaboration
+ 6000 J/H R&D PAR AN
AGENDA
� PRÉSENTATION FONCTIONNELLE DE LA MESSAGERIE SÉCURISÉE� Présentation de la suite Zimbra� Présentation des fonctionnalités Idéo
Securemail� Cas d’usage
� ARCHITECTURE TECHNIQUE� Présentation du Proxy MSS� Dimensionnement
� TRAJECTOIRE DU PROJET
MESSAGERIE SÉCURISÉESOLUTION DE MESSAGERIE SÉCURISÉE, DÉDIÉE AUX PROFESSIONNELS DE SANTÉ, PERMETTANT L’ÉCHANGE DE MESSAGES DANS UNE LOGIQUE DE CONFIDENTIALITÉ.
5
PRINCIPALES FONCTIONNALITES- Echange de messages sécurisés- Standards de messagerie intégrés- Recherche de professionnels multicritères- Accès simplifié à l’information médicale- Envoi de documents médicaux optimisé vers l’entrepôt XDS-B- Signature numérique authentifiant
l’expéditeur- Zimlet de recherche dans l’annuaire
référentiel- Zimlet de recherche dans le serveur
d’identité patient- Proxy MSS- Proxy Apycript- Authentification via une PKI local pour les
acteurs ne possédant pas de compte MSS
UNE MESSAGERIE ACCESSIBLE, FIABLE ET SÉCURISÉE- Authentification sécurisée via carte CPS , OTP- Messagerie pilotée par Idéo Directory- Compatibilité avec les messageries classiques- Couverture fonctionnelle riche- Application extensible- Application 100% web, accessible partout- Messagerie multi-domaines- Intégrée dans la suite Idéo Portal- Intégrée avec l’annuaire Référentiel Idéo Directory
v
LES OFFRES DE LA SUITE IDÉO SECURMAILUNE OFFRE ADAPTÉE EN FONCTION DES USAGES
Messagerie centralisé Zimbracollaboration suite 8.0
• Annuaire synchronisé avec RPPS et L’annuaire MSS
•Sécurité des accès avec Idéo SSO• provisionning automatique des
comptes et de la création des boîtes aux lettres avec Idéo Directory
•Zimlet PIX manager•Zimlet entrepôt XDS-B•Zimlet DMP•Zimlet Annuaire unifié•Messagerie Inter-applicative•Proxy MSS centralisé•Proxy Apycript
•Proxy MSS , LDAPS , SMIME SMTP(s) • Création automatiques des boîtes
aux lettres multi domaines•Gestion d’une PKI•Moteur de règles permettant la
définition des correspondances•Boîte aux lettres unifié• Interopérabilité avec les solutions
de Messagerie existantes Exchange , Lotus , Zimbra
•Supervision, audit et traçabilité
•Messagerie centralisé Zimbracollaboration suite 8.0
•Annuaire synchronisé avec RPPS et L’annuaire MSS
•Sécurité des accès avec Idéo SSO•provisionning automatique des
comptes et de la création des boîtes aux lettres
•Zimlet PIX manager•Zimlet entrepôt XDS-B•Zimlet DMP•Zimlet Annuaire unifié•Messagerie Inter-applicative•Proxy MSS centralisé
1 2 3
IDÉO SÉCUREMAIL
IDÉO™SECUREMAIL UNE MESSAGERIE MULTI-DOMAINE
• BASÉE SUR ZCS ZIMBRA 8.0
• COMPATIBILITÉ MSS , APICRYPT
• UNE INTERFACE WEB 2.0
• UN MOTEUR DE RECHERCHE ÉLABORÉ BASÉ SUR DES EXPRESSIONS RÉGULIÈRES
• UN SYSTÈME DE CLASSEMENT PAR CONVERSATION AUTOUR D’UN PATIENT
• UN SYSTÈME DE CLASSIFICATION DES MAILS EN FONCTION DE LA NATURE DES ÉCHANGES
• UNE COMPATIBILITÉ AVEC LES CLIENTS DE MESSAGERIE DU MARCHÉ NON INTRUSIF SANS INSTALLATION D’UN PLUGIN (OUTLOOK, LOTUS NOTES, MOZILLA THUNDERBIRD…)
• UNE INTÉGRATION FORTE AVEC L’ANNUAIRE LDAP DE L’ÉTABLISSEMENT OU DE LA RÉGION SYNCHRONISÉ AVEC L’ANNUAIRE MSS ET RPPS
# 7
• Une intégration forte dans la suite Idéo santé
• Personnalisation des listes de diffusion
• Demande de certificat de chiffrement et de signature au gestionnaire de la PKI
• Sécurité des accès via le SSO , OTP password
• Signature et chiffrement des messages avec la carte de professionnels de santé
• Respect des standards S/MIME X509 CPS
• Interopérabilité avec un serveur d’identité PIX Manager
• Possibilité d’envoyer un document à un entrepôt XDS-B en format HL7 CDA R2
• Possibilité de personnaliser la charte graphique
• Messagerie inter applicative avec Idéo Connect
Signature et chiffrement
Authentification forte
Idéo SSO
Carte CPS
OTP
Intégration
Bureau Virtuel
Accès à l’annuaire de
l’ENRS
Basé sur
ZCS
8.0
Proxy
MSS
Proxy
Apycript
Web
2.0
Envoi de document
À l’entrepôt XDS
FONCTIONNALITÉS ZCSLES FONCTIONNALITÉS PRINCIPAL DE ZIMBRA 8.0
CLIENTS WEB
Interface AJAX permettant le copier/coller, les libellés et les vues par conversation
Recherche évoluée incluant les fichiers enattachements
Le partage de tous les objets du système
Calendrier d'entreprise
Édition de document en ligne
Intégration d'application tierce grâce aux mash-up
ADMINISTRATION
Console d'administration AJAX
Plug-in de migration Exchange, Domino,standard IMAP
Sauvegarde et restauration en temps réels, stockagehiérarchique (HSM) et haute disponibilité
Archivage des boîtes aux lettres
Système de sécurité Anti-spam et Anti-virus intégré
LDAP et Active Directory intégrés
Délégation d'administration
MOBILE
Synchronisation native au Blackberry via BlackberryEnterprise Server (BES)
Synchronisation «over the air » à l'Iphone, windowsmobile 5+, Palm et SymbianOS
Synchronisation au mobile J2M tel que le MotorolaRAZR2
Accès Web mobile
AUTRES DESKTOPS
Natif MAPI synchronisation à outlook2003,/2007
Natif synchronisation aux applications Apple via ZimbraiSync Connector et CalDav
Support pour tous les clients POP3 et IMAP
Zimbra est un système de messagerie collaborative complet Open Source. L'accès natif est proposé à l'aide de client web AJAX.Ses fonctionnalités de base sont le mail, le calendrier, l'annuaire, les documents, le chat, les tâches et lasynchronisation mobile
FONCTIONNALITÉS ZCSLES FONCTIONNALITÉS PRINCIPAL DE ZIMBRA 8.0
Les avantages de Zimbra pour l’utilisateur :• Accessible de partout : de l’hôpital, de chez soi, de l’hôtel, etc.
• Choix du client : Zimbra webmail, Zimbra Desktop, Zimbra Mobile, Outlook, Thunderbird… et tout autre client supportant les standards POP/IMAP et iCal/CalDAV.
• Le client web Ajax fonctionne depuis n’importe quel ordinateur
• Synchro avec tout type de PDA• Travail collaboratif et productivité accrue• Gestion des boîtes aux nombreux emails facilitée par les étiquettes, la vue par conversation et la recherche avancée
• Toutes les fonctions disponibles au sein de la même interface : emails, agendas, carnets d’adresses, fichiers, tâches, messagerie instantanée…
• Extensions pour applications médicales Idéo sécurmail :• Envoi de mail vers l’espace de confiance MSS• Envoi de mail vers Apicrypt
ZimbraServer
ZimbraSync
ZimbraDESKTOP
Ajax Web Client
MS Outlook
zSync
zSync
MAPI iSync
CalDav
Apple Desktop
IMAP,POP,CalDav,
Ical, RSS
Standards Clients
ActiveSync
XHTML
IPhone
ActiveSync
Mobiles
Win Mobile Palm Symbian
BlackBerry
AstraSync
FONCTIONNALITÉS ZCSARCHITECTURE LOGIQUE DU NOYAU ZIMBRA 8.X
10
StockageJournalisationindexation
Annuaire Idéo directory pour la création des Boîtes aux lettres
Idéo
directory
Interrogation de l’annuaire référentiel depuis la messagerie
FONCTIONNALITÉS ZCSLES FONCTIONNALITÉS PRINCIPAL DE ZIMBRA 8.0
MailPossibilité de partager un dossier de messagerie, de définir des boîtes mail
génériques ou encore des groupes d’utilisateurs (avec une adresse de groupe)
Carnet d’adresses• Créer et gérer plusieurs carnets d’adresses
• Partager des carnets d’adresses personnels
• Partage de carnet d’adresse avec d’autres utilisateurs
• Import des données depuis les carnets d’adresse actuels (en CSV)
Calendrier• Créer facilement des événements
• Possibilité de consulter les disponibilités des utilisateurs
• Possibilité de partager des calendriers entre les utilisateurs
• Accès à la réservation de ressources (salle, matériel…)
Tâches• Possibilité de créer des listes de tâches et de les gérer
• Partager les carnets de tâches avec d’autres utilisateurs
Porte-documents• Déposer des fichiers en ligne pour toujours les avoir avec vous
• Créer des documents et utiliser le versioning sur ces documents
• Partager certains espaces avec d’autres utilisateurs
Préférences• Possibilité de personnaliser les modules de Zimbra
Carnet
D’adressesTâches Préférences
Calendrier
1
2
4 56
Porte
documents
3
FONCTIONNALITÉS IDÉO SECUREMAILLES FONCTIONNALITÉS PRINCIPALES IDÉO SÉCUREMAIL
ZimbraServer
Zimbra Sync
Proxy
MSS
SS0
Entrepôt XDS-B
Accès depuis le
portail
1
2
Synchronisation
Annuaire AnnuaireRéférentiel
1-Création de boîtes aux lettres depuis la
création des comptes
2- synchronisation de l’annuaire référentiel
avec le GAL Zimbra
3-Zimlet de recherche de professionnels de
santé
1-Accès depuis le bureau Virtuel
2- Authentification SSO Unique
ServeurD’identité
patient
Recherche
d’identité
3
1-recherhce d’identité patient
2-Ajout d’un patient dans la liste des
contacts
3-Envoyer un document à l’entrepôt
Entrepôt XDS-B
1-Envoi de document vers l’entrepôt XDS-B
2- Signature de document
4
5
6
1-recherche d’identité
2-Création d’un dossier via l’assistant de
création
1-recherche d’un correspondant ayant
Une boîte aux lettres MSS
2-Validation intelligente de l’adresse Mail
FONCTIONNALITÉS IDÉO SECUREMAILLES FONCTIONNALITÉS PRINCIPALES IDÉO SÉCUREMAIL
13
Nom du produit RôleZimbra collaboration Network Professionnel 8.0 Messagerie Web AJAX Open source
Recherche des les différents annuaires Zimlet AnnuaireSignature et chiffrement Zimlet CPS ,Zimlet demande de certificat de chiffrement
Zimlet signature ,Zimlet préférences
Mailet « proxy Apycript »,Mailet « gestion d’une PKI »Authentification via Idéo SSO Mot de passe OTP ,ou carte CPSIntermédiation avec le serveur d’identité Idéo Identity Zimlet recherche d’un patient au niveau d’un serveur de
fédération et de rapprochement
Envoi vers un Entrepôt de données XDS-B Zimlet médicale conforme la liste des documents DMP en formatXDS
RedHat Linux système d’exploitation et applicationsPostfix serveur SMTPCyrus Serveur IMAPAmavis interface entre serveur SMTP et antivirusClamAV antivirusWebmin et modules posftix, Amavis, ClamAV interface d'administrationSpamAssassin filtre à spamSyslog Gestion des logs centraliséeMonit Supervision des servicesNet-snmp (compatible SNMP V3) Supervision serveurPartimage Sauvegarde et restauration à partir d’images compressées
FONCTIONNALITÉS IDÉO SECUREMAILZIMLET IDENTITÉ
1-recherhce d’identité patient au niveau du serveur d’identité régionale2-la recherche se fait Via des Traits stricts Nom , prénom , date de naissance , commune de Naissance , phonétique3- si le patient à un dossier , possibilité d’envoyer un document vers l’entrepôt XDS ,4- sinon possibilité de créer un dossier via un lien SSO vers l’application de création de dossier
1
1-possibilité d’ajouter une identité du patient dans le carnet d’adresse du professionnel2-l’ensemble des contacts patients sont stockées dans un dossier patients au niveau de l’onglet contact
2
3
FONCTIONNALITÉS IDÉO SÉCURMAILZIMLET ANNUAIRE
1-recherhce d’un professionnel de santé au niveau de l’annuaire régionale2-la recherche se fait Via les éléments suivantsNom , prénom , profession, spécialité, code postalActivité au sein d’un établissement , appartenance à une communauté3- Possibilité de rédiger un mail directement au professionnel de santé
11-possibilité d’ajouter un professionnel dans le carnet d’adresse du professionnel et de visualiser s’il possède une adresse MMS2-l’ensemble des contacts sont stockées dans le carnet d’adresse
23
FONCTIONNALITÉS IDÉO SÉCURMAILZIMLET XDS-B
1-recherhce d’identité avec une auto complétion quand le patient possède un dossier d’échange ou de partage2-possibilité de faire une recherche étendu sur le serveur d’identité dans le cas ou le patient ne possède pas un dossier
13-Descritption du document a envoyer à l’entrepôt XDS-BTitre du document , type de document , accès restreint , date de l’événement qui a produit le document 4-Validation de l’auteur du document5-Envoi du document avec l’entête XDS-B
23
FONCTIONNALITÉS IDÉO SECUREMAILPRINCIPE DE SIGNATURE
1-Un Ps peut signer son message grâce à la carte CPS depuis un poste client de messagerie lourd ou à travers le Web mail mis à disposition.
2- demande de code PIN de la carte CPS3- Signature encours4-Envoi du message signé
Signature
Demande du code Pin de la carte CPS
Traitement du message
1
2
3
FONCTIONNALITÉS IDÉO SECUREMAILPROCESSUS DE SIGNATURE D’UN MAIL
18
ZimbraServer
Compte unifié
AnnuaireRégional
Certificat public
CRL
1
2
3RPPS CRL ADELI
Synchronisation de l’annuaire régional
Création de
BAL
Recherche Annuaire
Plateforme ENRSEmetteur récepteur
Envoi du mail à partir
d’un client de
messagerie
Le Bloc de sécurité
Intercepte le mail et
demande à l’utilisateur
s’il veut bien le signer
et/ou le chiffrer
L’utilisateur décide de
le signer uniquement
Le Bloc de sécurité
utilise la clé privé de la
carte CPS pour signer
Le mail et l’envoi
4
Envoi de mail
5
Relève de mail
6
7
8
Le Bloc de sécurité
intercepte la demande et
va chercher le courrier
dans Idéo Securemail
Le certificat de Clé
publique du
correspondant est
joint au message et
vérifie la validité de la
signature
Le client messagerie
récupère les mails
depuis le bloc de
sécurité et les
affichent
ASIP Santé
FONCTIONNALITÉS IDÉO SECUREMAILPROCESSUS DE CHIFFREMENT D’UN MAIL
19
ZimbraServer
Compte unifié
AnnuaireRégional
Certificat public
CRL
1
2
3RPPS CRL ADELI
Synchronisation de l’annuaire régional
Création de
BAL
Recherche Annuaire
Plateforme ENRSEmetteur récepteur
Envoi du mail à partir
d’un client de
messagerie
Le Bloc de sécurité
Intercepte le mail et
demande à l’utilisateur
s’il veut bien le signer
et/ou le chiffrer
L’utilisateur décide de le chiffrer uniquementLe Bloc de sécurité utilise la clé public du correspondant stocké dans l’annuaire après vérification de la CRL
4
Récupération de la clé public du correspondant
6
Relève de mail
7
8
9
Le Bloc de sécurité
intercepte la demande et
va chercher le courrier
dans Idéo Securemail
Il demande au PS d’introduire sa carte CPS qui contient la clé privé pour déchiffrer le message
Le client messagerie
récupère les mails
depuis le bloc de
sécurité et les
affichent
ASIP Santé
5
Envoi de mail
FONCTIONNALITÉS IDÉO SECUREMAILZIMLET : GESTIONNAIRE DE CERTIFICAT
1- L’utilisateur peut gérer son coffre fortIl peut exporter ou importer par exemple son certificat d’une clé USB vers son coffre fort
2- L’utilisateur peut faire une demande de certificat directement au GIP-CPS En introduisant sa carte CPS , le formulaire nom, prénom , identifiant , numéro de carte CPS est rempli automatiquement
1
2Gestion du coffre fort
Demande de certificat au GIP-CPS
ARCHITECTURE IDÉO SECUREMAILSCHÉMA LOGIQUE
21Serveur d’application Jetty/OS Linux 64 bits Redhat
Crypto lib GIP-CPS
API id
éo
Secu
rem
ail
Client Idéo SSO
WidgetPortail
ZimletXDS-B
ZimletIdentité
ZimletCertificat
ZimletAnnuaire
AuthentificationCPS/OTP/login Mot de
passe
AGENDA
� PRÉSENTATION FONCTIONNELLE DE LA MESSAGERIE SÉCURISÉE� Présentation de la suite Zimbra� Présentation des fonctionnalités Idéo
Securemail� Cas d’usage
� ARCHITECTURE TECHNIQUE� Présentation du Proxy MSS� Dimensionnement
� TRAJECTOIRE DU PROJET
LE PROXY MSSC’EST QUOI LA MSSANTÉ
23
Le système MSSanté repose sur un groupe autorisé de domaines de messageries fonctionnant en vase clos,
appelés domaines MSSanté , il repose sur les principes suivants :
Universalité : tous les professionnels habilités, quels que soient leurs modes d’exercice, doivent être en capacitéde disposer d’un compte de messagerie sécurisée permettant d’échanger avec tous les professionnels habilités, quels que soient les outils utilisés ;
Simplicité : l’émission et la consultation des messages sécurisées ne modifient pas les pratiques habituelles des autres outils de messageries, y compris en mobilité ;
Sécurité : l’utilisation d’une Messagerie Sécurisée de Santé doit assure confidentialité des données de santé à caractèrepersonnel échangées.
Le système MSSanté repose sur un « espace de confiance » qui se caractérise par :
� Un annuaire national MSSanté s’appuyant notamment sur le répertoire partagé des professionnels de santé et ayant vocation
à référencer l’ensemble des professionnels
� Une liste blanche de domaines qui regroupe l’ensemble des domaines de messageries des opérateurs autorisés à
échanger dans l’espace de confiance MSSanté
� Un référentiel permettant aux industriels de développer des offres conformes et interopérables entre elles.
MESSAGERIE SÉCURISÉELES MODÈLES DE DÉPLOIEMENT DE LA MSS.
24
v
Espace de
confiance
Internet Relais SMTP
Espace de Confiance Coubaril
Annuaire
RASS
Mail sécurisé MSS santé
Mail non sécurisé
Synchronisation Web service RASS
ProxyMSS
AES
ProxyMSS
Compte de messagerie géré par l’espace de
confiance
ETS 1
Domaine de messagerie géré par
l’espace de Confiance
ETS 2ETS 3
Utilisation du Proxy MSS de l’espace de
Confiance
Fonctionnement Autonome
1234
Basée sur Idéo SecureMail
� Envoi et réception sécurisés des mails avec les autres proxys MSS Santé de l’espace de confiance,
� Interrogation de la liste blanche nationale des domaines de l’espace de confiance,
� Publication dans l’annuaire MSSanténational des boites MSSanté gérées par la plateforme, à partir des données d’IdéoDirectory
� Synchronisation en local de l’intégralité de l’annuaire MSSanté national
� Zimlet annuaire
� Zimlet Identité
� Zimlet XDS-B
� Accessible depuis le portail ville/hôpital intégrée au domaine de confiance Coubaril
� Traçabilité au sens d’ATNA
MESSAGERIE SÉCURISÉE MMSLES CAS D’USAGES
25
Etablissement de santé
utilisant le proxy MSS
santé de l’opérateur
Régional
Professionnel de santé
Disposant d’une boîte
aux lettres Unifiée de
l’espace de confiance
Professionnel de santé
disposant d’un compte
De messagerie MSS via son
LPS
Espace de Confiance Courbaril
www.esante-guadeloupe.frUne messagerie sécurisée
Pour l’ensemble des acteurs
Etablissement de santé
utilisant son propre
Proxy MSS
Sphère
Médico Social
ProxyMSS
ProxyMSS
1
2
3
6
5
Espace de Confiance ASIPSanté
4
MESSAGERIE SÉCURISÉE MMSETABLISSEMENT DE SANTÉ UTILISANT LE PROXY MSS DE L’OPÉRATEUR RÉGIONAL
26
1
L’établissement de santé possède sa propre messagerie standard non sécurisée et utilise la messagerie sécurisée de
la plateforme Courbaril
L’utilisateur possède deux boîtes aux lettres :
1-une boîte aux lettres non sécurisée de son établissement @ch-xxxx.com
2-Une boîte aux lettres nominative sécurisée MSSanté @ch-xxxx.mssante.fr
MS Outlook
Relais
SMTPS
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
ThunderbirdClient lourd
Domaine de l’établissement de santé
Domaine de confiance Courbaril
Relais
SMTP
Internet
MSSantéClient Web
Athu sécurisée
Athu sécurisée
MESSAGERIE SÉCURISÉE MMSETABLISSEMENT DE SANTÉ HÉBERGEANT SA MESSAGERIE SÉCURISÉE AU NIVEAU RÉGIONAL
27
1
L’établissement de santé externalise sa messagerie à la plateforme Courbaril
L’utilisateur possède une boîte unifiée :
1-une boîte aux lettres non sécurisée de son établissement @ch-xxxx.com
2-Une boîte aux lettres nominative sécurisée MSSanté @ch-xxxx.mssante.com
MS Outlook
Relais
SMTPS
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
ThunderbirdClient lourd
Domaine de l’établissement de santé Domaine de confiance Courbaril
MSSantéClient Web
Athu sécurisée
Athu sécurisée
Relais
SMTPZimbraServer
Compte unifié
InternetAthu sécurisée
MESSAGERIE SÉCURISÉE MMSETABLISSEMENT DE SANTÉ UTILISANT LE PROXY MSS INTÉGRÉE DANS SA MESSAGERIE
28
2
Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l’établissement.
Il est en capacité de positionner lui-même l’adresse d’émission en fonction des destinataires. Dans le cas où la liste des destinataires
ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l’émission du message vers les
adresses non MSSanté à partir de la BAL MSSanté. L’utilisateur possède une boîte aux lettre unifiée:
1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com
MS Outlook
ThunderbirdClient lourd
Domaine de l’établissement de santé
Relais
SMTP
Internet
MSSantéRelais
SMTPS
Le proxy MSS est intégrée dans la messagerie
Serveur Exchange
MESSAGERIE SÉCURISÉE MMSETABLISSEMENT DE SANTÉ UTILISANT UN PROXY MSS NON INTÉGRÉE DANS SA MESSAGERIE
29
2
Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l’établissement.
Il est en capacité de positionner lui-même l’adresse d’émission en fonction des destinataires. Dans le cas où la liste des destinataires
ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l’émission du message vers les
adresses non MSSanté à partir de la BAL MSSanté. L’utilisateur possède une boîte aux lettre unifiée:
1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com
MS Outlook
ThunderbirdClient lourd
Domaine de l’établissement de santé
Relais
SMTP
Internet
MSSantéRelais
SMTPS
Le proxy MSS n’est pas intégrée dans la messagerie
Serveur Exchange
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
CAS : CHU DE POINTE À PITRE
30
MESSAGERIE SÉCURISÉE MMS
le CHU de Pointe à Pitre possède sa propre messagerie ZIMBRA 8 connecté a son propre annuaire Idéo directory.
le CHU peut utiliser le proxy MSS de la plateforme Courbaril
ZimbraServer
Compte unifié
ZimbraDESKTOP
Ajax Web Client
MS OutlookThunderbird
zSyn
c
zSyn
c
MAP
I
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Client messagerie
Certificats CPS
Relais
SMTP
Relais
SMTPS
Internet
MSSanté
Domaine de messagerie de l’ENRS Guadeloupe
AnnuaireMSSanté
Synchronisation de
l’annuaire national MSS
santé
Comptes MSSPublication des comptes
MSS
Domaine de messagerie CHU de Guadeloupe
0-mise à jour Idéo
directory du CHU pour
l’ajout d’un attribut mail
MSS pour les
organisations et les
applications
1-mise à jour de
IdéoSecuremail
2-Mise en place de la
Zimlet Mssanté
3-filtrage par le relais
SMTP(s) de
l’établissement vers le
proxy MSS de l’ENRS
Boîte aux lettres unifiée
le CHU peut faire le choix de déployer que des boites organisationnelles et applicatives et /ou des boîtes aux lettres nominatives.
Le format du domaine de messagerie est le suivant :Domaine : chu-guadeloupe.mssante.frBoîte aux lettres nominative : [email protected]îte aux lettres organisationnelles : [email protected]îte aux lettres applicatives : [email protected]
GESTION DES BOÎTES NON NOMINATIVES
31
MESSAGERIE SÉCURISÉE MMS
Prérequis:0-mise à jour Idéo directory du CHU pour : l’ajout d’un attribut mail MSS pour les organisations et les applications 1-mise à jour de IdéoSecuremail2-Mise en place de la Zimlet Mssante3-filtrage par le relais SMTP(s) de l’établissement vers le proxy MSS de l’ENRS
@Chu-guadeloupe.mssante.com
GESTION DES BOÎTES NON NOMINATIVES
32
MESSAGERIE SÉCURISÉE MMS
Créer la boîte aux
lettre via Idéo
directory local du
CHU
Créer la boîte du service
Partager la boîte aux
lettres du service avec
les secrétaires du
service via Zimbra
Cardiologie @Chu-guadeloupe.mssante.com
Les secrétaires médicales des services peuvent utiliser la messagerie MSSante sous la
responsabilité du professionnel de santé ou de l’établissement de santé qui l’emploie,
dans le respect des exigences de sécurité et de confidentialité prévues par les textes
en vigueur, les secrétaires médicales étant en outre tenues au secret professionnel.
Démarche au niveau du CHU
ENVOI DES CR DEPUIS LE DPI
33
Labo
DPI
Radio CR
HL7 , HPRIM
HL7 , ORU , ORMHL7 , CDA R2
ENRS Professionnels de santé
11 33
44
55
MSS professionnel de santé
MESSAGERIE SÉCURISÉE MMS
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
BUS Applicatif 22
Envoi des mails signésDomaine de confiance ASIP
ENVOI DES COMPTES RENDUS DEPUIS LE DPI
34
MESSAGERIE SÉCURISÉE MMS
Les cas d’usage retenus résultent de l’analyse des flux d’échange ville-hôpital pour chaque établissement .
Périmètre : Envoi des comptes rendus (hospitalisation, opératoires, consultation, laboratoire , compte rendus d’imagerie médicales …) issus de leur Dossier Patient Informatisé (DPI).
Mise en place d’un connecteur au niveau du DPI permettant :1-signature des comptes rendus par le professionnel de santé 2-connaître la liste des destinataires possédant une messagerie MSS , interrogation de l’annuaire local MSS de la plateforme Courbaril.
3-Envoi vers les destinataires à travers le proxy MSS.4-Réception des accusées de réception5- historisation au niveau du DPI
AGENDA
� PRÉSENTATION FONCTIONNELLE DE LA MESSAGERIE SÉCURISÉE� Présentation de la suite Zimbra� Présentation des fonctionnalités Idéo
Securemail� Cas d’usage
� ARCHITECTURE TECHNIQUE� Présentation du Proxy MSS� Dimensionnement
� TRAJECTOIRE DU PROJET
LE PROXY MSSARCHITECTURE DU PROXY MSS
36
• gère les messages MSSanté en offrant une interface unique d’accès au compte pour les utilisateurs à travers le web mail ou à travers le client des messagerie des établissements de santé dont le GCS est opérateur MSS
• gère également la correspondance entre les adresses internes du domaine et les adresses MSSanté.
• Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domainesMSSanté, le Proxy MSSanté doit refuser l’émission du message vers les adresses non MSSanté à partir de laBAL MSSanté.
• L’annuaire local du Proxy MSS est synchronisée avec Idéo Directory pour avoir une vue unifiée depuis le portail pour la fiche des professionnels de santé
• l’annuaire local Proxy MSS est synchronisée quotidiennement avec l’annuaire national MSSanté
L’architecture Idéo MSS est un Proxy Opérateur MSS couplé à la solution Idéo Securemail pour offrir à l’ensemble des utilisateurs une interface unifié d’échange de messagerie sécurisée ou non. Elle répond aux critères suivants :
LE PROXY MSSARCHITECTURE DU PROXY MSS
37
ZimbraServer
Compte unifié
ZimbraDESKTOP
Ajax Web Client
MS OutlookThunderbird
zSync
zSync
MAPI
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Client messagerie
Certificats CPS
Relais
SMTP
Relais
SMTPS
Internet
MSSanté
Domaine de messagerie de l’ENRS Guadeloupe
AnnuaireMSSanté
Synchronisation de l’annuaire
national MSS santé
Comptes MSSPublication des comptes MSS
LE PROXY MSSAPPLICATION D’ADMINISTRATION DU PROXY MSS
38
1
Gestion des domaines de confiance
Gestion des filtresEt des chaînes des filtres
2
3
Gestion des sources de donnéesPour la synchronisation
4Gestion de la configuration du serveur
ARCHITECTURE TECHNIQUEMESSAGERIE
39
Afin de répondre aux Normes HDS, IDO-in propose de venir s’ap puyer sur l’architecture de stockage SAN pour stocker lesboîtes aux lettres. Nous utiliserons la réplication des bai es de stockage SAN pour répliquer sur le deuxième site l’espa ce destockage propre à Zimbra.
En cas de défaillance du site 1, il sera nécessaire de démarre r Zimbra via une procédure manuelle.
Relais SMTP
Proxy Apycript
Proxy MSS
Relais SMTP(s)Port 253425
Port 25
DMZ
Salle 1
Port 25
LUN ZIMBRA
Port 8080
Service Zimbra en fonctionnement Relais SMTP
Proxy Apycript
Proxy MSS
Relais SMTP(s)Port 253425
Port 25
DMZ
Salle 2
Port 25
LUN ZIMBRA
Port 8080
Service Zimbra en attente
Réplication des LUN(s)
Bascule de S1 vers S2
ARCHITECTUREDIMENSIONNEMENT POUR 2000 UTILISATEURS
40
Plate forme de pré-production
ServeurPhysique ou
vituelvCPU / CPU vRAM / RAM
Stockage SAS
Raid5
en GB
Stockage SAS
Raid 1
en GB
Stockage NL-
SAS Raid 5
en GB
Sauvegarde
Idéosecuremail1 Virtuel 4 8 100 50
Proxy MSS santé et relais SMTP(s) Virtuel 2 8 100 50
2 4 8 100 50 0
ARCHITECTUREDIMENSIONNEMENT POUR 2000 UTILISATEURS
41
Plate forme de production
ServeurPhysique ou
vituelvCPU / CPU vRAM / RAM
Stockage SAS Raid5
en GB
Stockage
SAS Raid 1
en GB
Stockage
NL-SAS
Raid 5
en GB
Sauvegarde
SMTP(s) relay (rsmtp1) Virtuel 2 4 40
SMTP(s) relay (rsmtp2) Virtuel 2 4 40
Idéosecuremail1 (HA) Virtuel 4 16 100 500
Proxy MSSanté 1 (HA ) Virtuel 2 8 60 150
Proxy Apycript 1 (HA) Virtuel 2 8 60 150
5 12 40 300 800 0
AGENDA
� PRÉSENTATION FONCTIONNELLE DE LA MESSAGERIE SÉCURISÉE� Présentation de la suite Zimbra� Présentation des fonctionnalités Idéo
Securemail� Cas d’usage
� ARCHITECTURE TECHNIQUE� Présentation du Proxy MSS� Dimensionnement
� TRAJECTOIRE DU PROJET
TRAJECTOIRE DU PROJET PAR ÉTABLISSEMENT
Etape
1Etape
2Etape
3Etape
4
Cadrage du projet
PréparationMise en œuvre
Déploiementet usages
PLANNING GÉNÉRALE
A M J J A S O N D J F M A M J J A S O N D J
2015 2016
Pilo
tage
du
Proj
etPl
an P
roje
t Ty
pe M
SS
Oct Nov Déc Jan Fév Mai JuinAvrilMars
♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦ ♦
1-Cadrage
2-Préparation
3-Mise en œuvre
4 : Déploiement et usage
Généralisation
Formation
Pilotage du Projet
Mobilisation Lancement de Projet
Clef de lecture
Gouvernance globale du Projet
Chantiers
Comité de Suivi de Projet (bimensuel)
Comité de Pilotage stratégique (mensuel)
Comité Opérationnel (selon besoins)
Etape
♦♦♦
T0
T0 + 6 mois
MÉTHODOLOGIE DE MISE EN ŒUVRE
Description des travaux
Résultats et livrables� Dossier d’architecture technique)
� Plan de configuration
� Dossier d’installation
� Dossier d’exploitation
� Mise en place du processus de support par le GCS
� Présentation du projet aux établissements
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape
1
Etape
2
Etape
3
Etape
4
ETAPE 1 : CADRAGE
� Présentation du projet aux établissements de santé
� Identifier les sponsors du projet
� Audit du SI en lien avec la MSS ( DPI , messagerie )
� Choix du modèle d’implémentation
� Choix de l’architecture technique
� Organisation du Plan projet
� liste des cations amener par l’établissement , le GCS , l’éditeur de l’établissement
� Comité de pilotage
MÉTHODOLOGIE DE MISE EN ŒUVRE
Description des travaux
Résultats et livrables� Un service pilote opérationnel
� Etape de cadrage validé
� Equipe projet Etablissement nommé
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape
1
Etape 2
Etape
3
Etape
4
ETAPE 2: PRÉPARATION
� Le choix du modèle est validé
� Le domaine est choisie
� Impact au niveau du SI
� Impact réseaux
� Contacts techniques
� Déterminer les types de boîtes aux lettres sécurisées à créer
� Mise en place des correspondances
� Mise en place des boîtes aux lettres organisationnelles
� Mise en place des boîtes applicatives
MÉTHODOLOGIE DE MISE EN ŒUVRE
Description des travaux
Résultats et livrables
� Organisation des travaux avec les éditeurs− DPI , autres
� Intégration avec le modèle choisie
� Intégration du client de messagerie
� Préparation des annuaires et synchronisation avec l’annuaire régionale
� Mise en place des règles de sécurité
� Préparer le cahier de test
� Paramétrage par le GCS
� Dossier technique de l’établissement
� A définir
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
� IDO-in− J Sénéchal – Project Manager
− XXXX–
A Définir
Planning
Etape 1
Etape 2
Etape 3
Etape
4
ETAPE 3 : MISE EN EN ŒUVRE TECHNIQUE
MÉTHODOLOGIE DE MISE EN ŒUVRE
Description des travaux
� Plan de communication
� Plan de formation
� Support de formation
Résultats et livrables
� Communiquer auprès des utilisateurs� informer les professionnels de santé
� Prévoir la communication avec les médecins traitants
� Prévoir une information au niveau de l’établissement CME , Direction, …
� Organiser les formations� PS , secrétariats
� Déploiement et généralisation des usages � PS , secrétariats
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape 1
Etape 2
Etape 3
Etape 4
ETAPE 4 : DÉPLOIEMENT ET USAGE
QUESTIONS -RÉPONSES
MERCI
IDO-in 49