L’évolution de la législation et du cadre réglementaire fixé par l’ASIP Santé, notamment dans le cadre de la PGSSI-S, impose aux centres hospitaliers de mettre en place une Politique Générale de Sécurisation de leur Système d’Information.   En effet, la responsabilité juridique de l’établissement peut être engagée si des manquements sont constatés dans le traitement et la manipulation des données médicales (Loi du 4 mars 2002 relative aux droits des patients). Par ailleurs, de plus en plus d’établissements mutualisent leurs équipements, et sont amenés à échanger des données sensibles sur leurs patients. Très vite, se posent alors des questions pratiques sur les moyens à mettre en oeuvre pour assurer la confidentialité des échanges et limiter les accès aux personnes qui fréquentent le CH et qui seraient tentées d’avoir accès à des informations sensibles sur des patients sans en avoir le droit.  

 Comment sécuriser un SIH ?

Pour sécuriser un SIH, il convient de mettre en oeuvre une authentification forte à l’aide d’une carte à puce de type CPS ou carte d’établissement. Pour rappel, l’authentification forte (à deux facteurs) consiste à combiner un support physique (la carte de l’utilisateur) et une donnée connue de l’utilisateur (le code PIN de la carte). La PGSSI définit plusieurs niveaux de sécurité organisés selon 3 paliers pour les établissements de Santé, en fonction des usages à mettre en place. L’authentification forte repose sur la carte CPS (Carte professionnel de santé) distribuée par l’ASIP. Elle contient un certificat avec l’identifiant national du professionnel. C’est un des moyens d’authentification les plus utilisés à l’heure actuelle : elle permet de s’assurer de l’identité du porteur et de réaliser des opérations d’authentification sur des applications médicales, ainsi que sur le SIH.  

La carte CPS, un premier pas vers la sécurité

La carte CPS présente plusieurs avantages : – elle embarque les certificats de l’ASIP Santé pour réaliser une authentification forte : pas besoin de gérer une infrastructure de type PKI (Public Key Infrastructure) en interne – l’émission et le renouvellement des cartes CPS sont assurés par l’ASIP Santé – les supports sont gratuits – la carte CPS permet de réaliser une authentification publique en dehors du SIH – et surtout, les cartes CPS v3 embarquent une puce sans contact, ce qui permet d’en faire une carte multi-services Ce type de support permet de centraliser sur une seule et même carte l’ensemble des services proposés au sein de l’établissement. Terminé les badges dédiés à chaque usage : le self, le parking, les accès aux locaux, l’authentification sur le SIH… Ce support « multiservices » permet de faciliter son adoption par les agents hospitaliers : ils l’utilisent pour tous leurs besoins au quotidien, ce qui réduit considérablement les cas d’oubli ou de perte de badge.

Intégrer le SSO pour une action complète  

Le complément idéal de l’authentification forte est une solution d’authentification unique (SSO). Elle va permettre de transformer les contraintes réglementaires en véritables atouts. L’arrivée de la carte est alors vécue comme un réel confort au quotidien car l‘ensemble des opérations sur les différentes applications médicales est facilité par l’injection automatique des couples login/mot de passe de la personne connectée. Le verrouillage/déverrouillage du poste de travail est plus simple, plus rapide, puisqu’il suffit de passer sa carte pour ouvrir ou récupérer sa session de travail. Les agents hospitaliers sont plus efficaces et gagnent du temps pour se concentrer sur les tâches les plus importantes, et ce, dans l’intérêt du patient. Le SIH renforce la traçabilité et anticipe les futurs besoins de mutualisation ou de partages d’applications avec l’extérieur notamment avec le support des cinématiques de fédérations d’identités. Prenons l’exemple d’un professionnel qui souhaite accéder à un service sur le portail régional de santé : pour ne pas avoir à se réauthentifier auprès du portail qui exige une authentification forte, une fédération peut être mise en place entre ce portail et l’établissement duquel il dépend. Cette fédération met en oeuvre des protocoles normalisés tels que SAML ou encore Interops afin d’échanger l’identité de l’utilisateur de manière sécurisée.

Les premiers pas à suivre

Pour répondre à ces enjeux, chaque établissement doit donc mener une démarche volontaire pour sécuriser son SIH à travers quelques points clés : – mener un audit des lacunes du SIH en matière de contrôle d’accès et traçabilité en s’inspirant des guides mis en place par l’ASIP Santé – mettre en oeuvre une solution d’authentification forte par carte (de type CPS ou Carte d’établissement) – ajouter un système de contrôle d’accès et d’authentification unique (SSO) pour améliorer la traçabilité, et traiter toutes les problématiques de mots de passe des applications Cette sécurisation aura en plus le mérite d’apporter davantage de confort et d’ergonomie au personnel hospitalier qui utilise pléthore d’applications médicales quotidiennement : ils n’auront plus qu’à retenir un seul code PIN, en lieu et place d’une multitude de mots de passe… Ils vous en seront reconnaissants.

 

____________
Frédéric Lefebvre est Ingénieur Avant-Vente d’Ilex International