Un petit tour dans le cloud puis réinternalisation : le nuage informatique ne satisfait pas toutes les entreprises. C’est le cas du CHU de Montpellier, lequel emploie 11 000 agents hospitaliers et dispose de près de 2 000 lits. Son pôle consultationsaccueille 500 000 patients par an, sur plusieurs sites géographiques dont les plus connus sont Arnaud Villeneuve (femmes et enfants), Lapeyronnie (endocrinologie), La Colombière (psychiatrie). S’y ajoute le centre névralgique des décisions administratives, André Benech, où la direction informatique estinstallée.
Le CHU joue également le rôle desupport pour le GHT (Groupement Hospitalier de Territoire) Est Hérault et Sud Aveyron. Soit 4 200 lits et 12 000 professionnels de santé :« notre rôle est d’assurer le support pour certaines fonctions du groupement : Achats, système d’information, formation », indique Vincent Templier, RSSI du CHU.
Aller-retour du dossier patient
Le CHUest client depuis 2004 de la solution de SSO (Single Sign-On) d’Ilex. Lequel travaille égalementavec l’ANS (Agence du Numérique en Santé) depuis de nombreuses années sur le middleware de la carte CPS/CPx (Carte de Professionnel de Santé) pour le renforcement de l’identification et l’authentification. « Mais en 2015, il y a eu un arrêt brutal de l’expansion de l’Enterprise SSO (eSSO) sur l’ensemble de nos applications suite à la décision d’externaliser le DPI (Dossier patient informatisé) dans le cloud d’Orange », raconte Vincent Templier.Seules quelques applications historiques conservées en interne fonctionnaient avec le eSSO d’Ilex.
« C’est très compliqué pour nos agents de devoir entrer des dizaines voire des cinquantaines de fois les identifiants dans la journée sur leurs applications métiers. »
Vincent TemplierRSSI, CHU de Montpellier
Revirement stratégique en 2018, le CHU décide de réinternaliser le DPI, ce qui a remis le SSOau cœur de la sécurisation du système d’information. « Le SSO est en effet stratégique. C’est très compliqué pour nos agents de devoir entrer des dizaines voire des cinquantaines de fois les identifiants dans la journée sur leurs applications métiers. Sachant qu’en plus certains employés accèdent quotidiennement à une dizaine d’applications, avec autant d’identifiants et de mots de passe. Un véritable casse-tête », constate le RSSI.
La direction aurait pu accepter des mots de passe plus simples, mais au détriment de la sécurité, ou se retrouver avec des Post-it sur les écrans… LeeSSO facilite l’usage des logiciels ainsi que l’authentification, tout en renforçant le niveau de sécurité, en augmentant la taille et composition des mots de passe.
Une ferme Citrix réinternalisée
L’objectif prioritaire a été l’équipement des postes médicaux avec un client natif de SSO, Sign&Go. L’usage de la messagerie sécurisée MediMail (éditée par le groupement d’intérêt public MiPih), qui nécessite une authentification à chaque lecture de messages, a été simplifié grâce à Sign&Go. Environ 1 000 postes médicaux sont couverts.Le deuxième objectif qui est finaliséest l’équipement de la ferme Citrix du CHU avec Sign&Go. Précédemment hébergée dans le cloud d’orange, elle a été réinternalisée en 2019 au sein du CHU. Depuis, le SSOa été mis en œuvre sur les applications métiers qui sont les plus employées au sein de l’établissement de santé.
Une mise en œuvre fluide passait par la démonstration que le SSO allait simplifier la vie des utilisateurs. Ce qui n’est pas évident lorsque le projet vient du RSSI, souvent identifié comme une personne alourdissant le système. Il a fallu faire une cartographie des activités métiers par rapport aux besoins en termes d’authentification ; définir le nombre d’identifications par jour et par personne pour essayer de cibler en premier les applications qui sont les plus chronophages pour les utilisateurs. Le SI comporte en effet plusieurs centaines d’applications. Le SSO s’applique actuellement sur un périmètre relativement réduit de quelques dizaines d’applications, avant de monter en charge d’ici quelques années sur la plupart des applications métiers.
Dans ce genre de ce projet, il est important d’avoir une approche itérative. Par exemple, autoriser la réinitialisation de mot de passe en self-service est une première brique élémentaire. Renforcer l’authentification sur les postes de travail avec une carte par exemple, ouvrir le SI vers l’extérieur, et mettre en place la fédération d’identités, constituent les étapes pour construire une unique infrastructure serveur sur laquelle on activera les différents modules.
De nombreux PC en mode kiosque
Le eSSO s’applique aussi pour la gestion du mode kiosque du personnel. Dans les établissements de santé, la plupart du temps, les sessions utilisateurWindows sont génériques dans les salles de soins, parce que demander à chaque fois de repasser par le processus assez lourd d’ouverture de session n’est pas envisageable, surtout avec plusieurs dizaines de milliers d’agents.
Dans la pratique, l’utilisateur insère sa carte, et saisit un code PIN si c’est sa première connexion de la journée. Un jeton SSO est alors généré lui donnant accès à ses applications métiers. Lorsqu’il retire sa carte, le poste est verrouillé. S’il revient, il retrouve son environnement applicatif. Si c’est un autre utilisateur, la procédure initiale est reproduite.
« Dans le cadre WebSSO, l’identité de l’utilisateur est transmise à l’application directement via le flux web. »
Guillaume GuerrinDirecteur avant-vente, Ilex
Pour l’intranet, le CHU explore WebSSO, sa solution historique, directement sur la partie serveur, ce qui permet de travailler avec les solutions très variées comme Résurgence (gestion urgence), ou Magh2 (gestion des achats)ou avec des solutions développées en interne. « Dans le cadre WebSSO, l’identité de l’utilisateur est transmise à l’application directement via le flux web. Il n’y a pas forcément d’agent sur le poste utilisateur : celui-ci est installé sur un reverse proxy ou éventuellement sur l’application elle-même », explique Guillaume Guerrin, directeur avant-vente d’Ilex.
Il fallait aussi permettre à des personnels qui n’avaient pas d’ordinateurs fournis par le CHU, de s’authentifier de façon sécurisée en télétravail. L’établissements’est appuyésur plusieurs solutions : l’OTP par SMS dans un premier cas pour enrôler le téléphone portable de l’utilisateur, appuyé ensuite sur la solution Authenticator d’Ilex.Le CHU exploite aussi un système de code QR : en amont, l’utilisateur s’identifieauprès de laDSI en indiquant son numéro de téléphone mobile, qui est enregistré dans l’Active Directory, afin d’enrôler le téléphone portable avec l’application Authenticator.Le QR code permet de s’authentifier de façon forte sur Citrix Netscaler Gateway, qui est la solution exploitée pour le télétravail.
« Pour les autres établissements de santé du GHT, nous devons attendre d’être certifiés hébergeur de données de santé (HDS), ce qui devrait arriver cette année, pour pouvoir étendre notre système de SSO. En effet, les établissements du GHT sont considérés comme des tiers et nous devons donc être certifiés HDS », prévoit Vincent Templier.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
