Les secteurs Santé et Social sont des domaines où l’exigence de confidentialité prend tout son sens : les initiatives de partage des informations concernant les patients ont ouvert la voie à une réflexion globale sur la sécurité des systèmes d’information de santé (PGSSI-S). Des solutions de sécurité dédiées doivent être mises en œuvre afin de renforcer et contrôler les accès aux applications (authentification forte par Carte de Professionnel de Santé par exemple). De même, la multiplication des exigences de sécurité et la nécessaire cohérence de l’infrastructure du Système d’Information Hospitalier ont conduit à la mise en place d’un Annuaire d’Etablissement de Santé (AES), référentiel unique d’identités et d’habilitations.
Rencontre avec Olivier Morel, Directeur général adjoint chez Ilex International, PME spécialisée dans la gestion des identités et des accès, présente depuis 1996 sur le secteur de la santé.
S’adapter continuellement
Le premier des enjeux est d’accompagner les établissements de santé dans leur mise en conformité avec les réglementations sectorielles tel que les décrets hébergeur et confidentialité de l’ASIP Santé. « Cela nous oblige à adapter notre offre pour répondre aux attentes singulières du secteur en matière de pratiques métier, de confidentialité, de traçabilité. Il s’agit également de suivre les recommandations des instances nationales tel que le programme Hôpital Numérique de l’ANAP. »
Ilex sécurise également les nouvelles infrastructures (SaaS) qui voient le jour avec l’évolution des usages et des technologies, et surtout avec la nécessité toujours plus forte de rationaliser les coûts et de favoriser le partage et le travail collaboratif.
« À l’heure où les réglementations sectorielles, nationales et internationales (notamment européennes) se durcissent et imposent aux organisations de se mettre en conformité, la gestion des accès est une brique sécuritaire prioritaire et fondamentale. » déclare Olivier Morel.
Associer authentification forte et ergonomie
Depuis plus de 20 ans, Ilex International adresse le secteur de la santé. Cette année, c’est notamment Ramsay, Générale de Santé qui a opté pour la solution « couteau suisse » proposée par la PME. « Ramsay, Générale de Santé, c’est 23 000 personnes et 6 000 praticiens libéraux dans 120 établissements médicaux sur tout le territoire… sans compter les utilisateurs qui ont des comptes sur une trentaine d’applications. » explique Christophe Maira, RSSI de Ramsay, Générale de Santé. Un audit a poussé le premier groupe de cliniques et d’hôpitaux privés en France à lancer un projet IAM visant à centraliser et rationaliser cette gestion des accès, mais aussi à sécuriser l’accès aux données patients notamment au moyen de l’authentification forte « tout cela en offrant une ergonomie extrêmement simple pour le personnel administratif tout comme les infirmières et les médecins. Nous cherchions le couteau suisse de l’authentification, qui soit très bon en fédération des identités, en eSSO (Enterprise SSO), en Web SSO et authentification forte, mais qui puisse aussi être utilisé par tous, notamment les infirmières. Nous avions des applications COBOL qu’il était impossible de laisser de côté.» poursuit Christophe Maira. Un projet conduit en 1 an 1/2 par les équipes d’Ilex portant sur 114 établissements et une vingtaine d’application basculées à ce jour.
Conjuguer enjeux métier et sécuritaires
« Notre solution Sign&go est simple : on oublie les problématiques liées aux mots de passe (mémorisation, perte, partage, etc.), les authentifications multiples ou encore les niveaux de sécurité incohérents et la traçabilité complexe des accès » détaille Olivier Morel.
Sign&go est une solution de sécurité offrant, au sein d’une architecture et une administration communes, des fonctionnalités d’authentification renforcée et adaptative, de Web Access Management, de Mobile Access Management, de fédération d’identités et de eSSO (ou « Enterprise Single Sign-On »).
L’authentification adaptative est basée sur l’évaluation d’un niveau de risque qui permet d’ajuster le niveau de sécurité en fonction du contexte de connexion de l’utilisateur « notre solution intègre les mécanismes d’authentification à 1, 2, ou 3 facteurs (carte contacts/sans-contact, one-time-passwords, schémas hors bande (SMS/e-mail), biométrie, self-service, etc.) qui sont disponibles tant au niveau des postes de travail, terminaux légers ou mobiles, que des portails web consultés depuis l’intérieur ou l’extérieur de l’entreprise, ou des infrastructures de virtualisation. Elle dispose d’un point unique d’administration et de traçabilité, réalise des audits et présente des statistiques sur toutes les authentifications, autorisations et délégations. » détaille Olivier Morel et d’ajouter « cette solution permet d’adresser le secteur de la santé sur lequel nous sommes un acteur historique, mais elle est aussi une réponse adaptée aux problématiques de la banque, de la finance et de l’assurance, du monde industriel ou encore de la Défense. »
Six bonnes raisons d’utiliser l’authentification forte en environnement mobile professionnel
Cette année 2018 marque l’entrée en vigueur de nombreuses règlementations : RGPD, directive NIS, DSP2… Elles apportent avec leurs lots d’obligations, de nouvelles règles en matière de cybersécurité. Parmi elles, l’authentification forte et la protection de l’accès aux données.
« L’authentification forte et toutes ses déclinaisons – telles que l’authentification ‘MFA’, pour ‘Multi-Factor Authentification’, l’authentification adaptative ou l’authentification basée sur le risque – sont en effet devenues aujourd’hui des pratiques de plus en plus répandues pour accéder au système d’information des entreprises. » explique Olivier Morel.
1. Répondre aux exigences règlementaires
L’authentification forte ne permettra pas de répondre en intégralité à ces directives et règlements, mais contribuera activement à la mise en conformité. « Entrée en vigueur en janvier dernier, la DSP2, Directive européenne sur les services de paiement 2e version, vise à imposer l’authentification forte pour les paiements en ligne de plus de 30 euros, la création de virements permanents et les autorisations de prélèvements. Les agrégateurs de comptes et prestataires de paiement devront aussi passer par l’authentification forte pour se connecter aux banques et récupérer les données de leurs usagers. » commente Olivier Morel.
2. Ouvrir son système d’information en toute sécurité
« L’ouverture du système d’information est un enjeu majeur de la transformation digitale. En effet, il faut maintenant composer avec des utilisateurs qui accèdent à des services internes et externes au SI, et ce au sein de l’entreprise mais également depuis l’extérieur. Intégrer des accès depuis des terminaux mobiles, maîtrisés ou non, est une réalité avec laquelle il faut composer. Que l’on accepte ou non le BYOD, l’utilisation ‘personnelle’ du mobile par les utilisateurs ne correspond pas toujours aux bonnes pratiques et nécessite une vigilance accrue. Chaque nouvelle porte ouverte sur le système d’information devant être maitrisée et sécurisée, l’authentification forte s’impose comme une évidence pour accéder au SI. Le même soin en matière de sécurité doit être apporté : prévention contre les risques d’attaques, protection contre la perte ou le vol de données et authentification doivent être renforcées, qu’il s’agisse de se connecter à un service cloud, ou d’accéder à ses applications métier depuis l’extérieur. » poursuit Olivier Morel.
3 &4. Libérer les utilisateurs mobiles des contraintes de mots de passe en conciliant ergonomie et sécurité et limiter les risques liés à la vulnérabilité des appareils mobiles
5. Consolider la démarche d’urbanisation de son système d’information
L’entreprise ne doit pas multiplier les solutions en fonction des accès à protéger ou s’enfermer dans des développements spécifiques complexes : mutualisation et standardisation sont les maîtres mots pour une transformation digitale réussie. « Aujourd’hui, les architectes et urbanistes du système d’information recommandent de s’appuyer sur une infrastructure d’authentification de référence au sein du SI, et basée sur des standards du marché, afin de s’assurer de la bonne applicabilité de la politique de sécurité de l’entreprise et de l’interopérabilité avec les technologies innovantes qui s’y connectent. » ajoute notre expert.
6. Garantir contrôle et traçabilité des accès mobiles à son système d’information
« Renforcer les mécanismes d’authentification et les règles de contrôle d’accès en environnement mobile facilite contrôle et traçabilité : l’authentification forte apporte de la confiance en garantissant l’identité numérique de l’utilisateur. L’entreprise voit alors les risques de compromission considérablement réduits. De même, et à posteriori, la traçabilité des authentifications, des autorisations et des délégations facilite les besoins d’audit. » conclut Olivier Morel.