Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Frédéric Lefebvre, Ilex International : Vers une authentification forte des acteurs de santé

décembre 2014 par Frédéric Lefebvre, Ingénieur Avant-Vente pour Ilex International

L’évolution de la législation et du cadre réglementaire fixé par l’ASIP Santé, notamment dans le cadre de la PGSSI-S, impose aux centres hospitaliers de mettre en place une Politique Générale de Sécurisation de leur Système d’Information.

En effet, la responsabilité juridique de l’établissement peut être engagée si des manquements sont constatés dans le traitement et la manipulation des données médicales (Loi du 4 mars 2002 relative aux droits des patients).
Par ailleurs, de plus en plus d’établissements mutualisent leurs équipements, et sont amenés à échanger des données sensibles sur leurs patients. Très vite, se posent alors des questions pratiques sur les moyens à mettre en œuvre pour assurer la confidentialité des échanges et limiter les accès aux personnes qui fréquentent le CH et qui seraient tentées d’avoir accès à des informations sensibles sur des patients sans en avoir le droit.

Comment sécuriser un SIH ?

Pour sécuriser un SIH, il convient de mettre en œuvre une authentification forte à l’aide d’une carte à puce de type CPS ou carte d’établissement.
Pour rappel, l’authentification forte (à deux facteurs) consiste à combiner un support physique (la carte de l’utilisateur) et une donnée connue de l’utilisateur (le code PIN de la carte).

La PGSSI définit plusieurs niveaux de sécurité organisés selon 3 paliers pour les établissements de Santé, en fonction des usages à mettre en place. L’authentification forte repose sur la carte CPS (Carte professionnel de santé) distribuée par l’ASIP. Elle contient un certificat avec l’identifiant national du professionnel. C’est un des moyens d’authentification les plus utilisés à l’heure actuelle : elle permet de s’assurer de l’identité du porteur et de réaliser des opérations d’authentification sur des applications médicales, ainsi que sur le SIH.

La carte CPS, un premier pas vers la sécurité

La carte CPS présente de multiples avantages :
 elle embarque les certificats de l’ASIP Santé pour réaliser une authentification forte : pas besoin de gérer une infrastructure de type PKI (Public Key Infrastructure) en interne
 l’émission et le renouvellement des cartes CPS sont assurés par l’ASIP Santé
 les supports sont gratuits
 la carte CPS permet de réaliser une authentification publique en dehors du SIH
 et surtout, les cartes CPS v3 embarquent une puce sans contact, ce qui permet d’en faire une carte multi-services

Ce type de support permet de centraliser sur une seule et même carte l’ensemble des services proposés au sein de l’établissement. Terminé les badges dédiés à chaque usage : le self, le parking, les accès aux locaux, l’authentification sur le SIH…

Ce support « multiservices » permet de faciliter son adoption par les agents hospitaliers : ils l’utilisent pour tous leurs besoins au quotidien, ce qui réduit considérablement les cas d’oubli ou de perte de badge.

Intégrer le SSO pour une action complète

Le complément idéal de l’authentification forte est une solution d’authentification unique (SSO). Elle va permettre de transformer les contraintes réglementaires en véritables atouts. L’arrivée de la carte est alors vécue comme un réel confort au quotidien car l‘ensemble des opérations sur les différentes applications médicales est facilité par l’injection automatique des couples login/mot de passe de la personne connectée. Le verrouillage/déverrouillage du poste de travail est plus simple, plus rapide, puisqu’il suffit de passer sa carte pour ouvrir ou récupérer sa session de travail.

Les agents hospitaliers sont plus efficaces et gagnent du temps pour se concentrer sur les tâches les plus importantes, et ce, dans l’intérêt du patient.
Le SIH renforce la traçabilité et anticipe les futurs besoins de mutualisation ou de partages d’applications avec l’extérieur notamment avec le support des cinématiques de fédérations d’identités. Prenons l’exemple d’un professionnel qui souhaite accéder à un service sur le portail régional de santé : pour ne pas avoir à se réauthentifier auprès du portail qui exige une authentification forte, une fédération peut être mise en place entre ce portail et l’établissement duquel il dépend. Cette fédération met en œuvre des protocoles normalisés tels que SAML ou encore Interops afin d’échanger l’identité de l’utilisateur de manière sécurisée.

Pour répondre à ces enjeux, chaque établissement doit donc mener une démarche volontaire pour sécuriser son SIH à travers quelques points clés :
 mener un audit des lacunes du SIH en matière de contrôle d’accès et traçabilité en s’inspirant des guides mis en place par l’ASIP Santé
 mettre en œuvre une solution d’authentification forte par carte (de type CPS ou Carte d’établissement)
 ajouter un système de contrôle d’accès et d’authentification unique (SSO) pour améliorer la traçabilité, et traiter toutes les problématiques de mots de passe des applications

Cette sécurisation aura en plus le mérite d’apporter davantage de confort et d’ergonomie au personnel hospitalier qui utilise pléthore d’applications médicales quotidiennement : ils n’auront plus qu’à retenir un seul code PIN, en lieu et place d’une multitude de mots de passe... Ils vous en seront reconnaissants.


Voir les articles précédents

    

Voir les articles suivants