LA SÉCURITÉ DES SI DE SANTÉ

Transcription

1 LA SÉCURITÉ DES SI DE SANTÉ Mise en place du ROR en région Océan Indien Déploiement des annuaires d établissement Mercredi 1 er juillet

2 Bertrand Parent MOT D ACCUEIL Directeur de la Délégation de l ile de la Réunion ARS OI 2

3 RAPPEL DES MISSIONS DU GCS TESIS Laurent Bien Administrateur GCS TESIS (Directeur EPSMR) Antoine Lerat Directeur GCS TESIS 3

4 GCS TESIS : ACTEUR DE LA E-SANTÉ EN OCÉAN INDIEN 4

5 Mathias Laurent INTRODUCTION SUR LE ROR Chef de projet GCS TESIS, référent régional SSI 5

6 SANTÉ RIME-T ELLE AVEC CYBERSÉCURITÉ? Hygiène et prophylaxie en matière de SI Philippe Loudenot Fonctionnaire de sécurité des systèmes d information Ministères chargés des affaires sociales CLUSIF CESIN ARCSI Le diable est dans les détails Des données, des systèmes, des usages 6

7 AXIOME 7 7

8 «PRIMUM NON NOCERE» Ὄμνυμι Ἀπόλλωνα ἰητρὸν, καὶ Ἀσκληπιὸν, καὶ Ὑγείαν, καὶ Πανάκειαν, καὶ θεοὺς πάντας τε καὶ πάσας, ἵστορας ποιεύμενος, ἐπιτελέα ποιήσειν κατὰ δύναμιν καὶ κρίσιν ἐμὴν ὅρκον τόνδε καὶ ξυγγραφὴν τήνδε ἡγήσασθαι μὲν τὸν διδάξαντά με τὴν τέχνην ταύτην ἴσα γενέτῃσιν ἐμοῖσι, καὶ βίου κοινώσασθαι, καὶ χρεῶν χρηΐζοντι μετάδοσιν ποιήσασθαι, καὶ γένος τὸ ἐξ ωὐτέου ἀδελφοῖς ἴσον ἐπικρινέειν ἄῤῥεσι, καὶ διδάξειν τὴν τέχνην ταύτην, ἢν χρηΐζωσι μανθάνειν, ἄνευ μισθοῦ καὶ ξυγγραφῆς, παραγγελίης τε καὶ ἀκροήσιος καὶ τῆς λοιπῆς ἁπάσης μαθήσιος μετάδοσιν ποιήσασθαι υἱοῖσί τε ἐμοῖσι, καὶ τοῖσι τοῦ ἐμὲ διδάξαντος, καὶ μαθηταῖσι συγγεγραμμένοισί τε καὶ ὡρκισμένοις La mission νόμῳ ἰητρικῷ, des ἄλλῳ structures δὲ οὐδενί. Διαιτήμασί sanitaires τε χρήσομαι ἐπ ὠφελείῃ et καμνόντων de κατὰ δύναμιν καὶ κρίσιν ἐμὴν, ἐπὶ δηλήσει δὲ καὶ ἀδικίῃ εἴρξειν. Οὐ δώσω δὲ οὐδὲ φάρμακον οὐδενὶ ses αἰτηθεὶς acteurs θανάσιμον, οὐδὲ est ὑφηγήσομαι de garantir ξυμβουλίην τοιήνδε l accès ὁμοίως δὲ à οὐδὲ une γυναικὶ πεσσὸν φθόριον δώσω. Ἁγνῶς δὲ καὶ ὁσίως διατηρήσω βίον τὸν ἐμὸν καὶ τέχνην τὴν ἐμήν. Οὐ τεμέω δὲ οὐδὲ μὴν λιθιῶντας, ἐκχωρήσω δὲ ἐργάτῃσιν ἀνδράσι πρήξιος τῆσδε. Ἐς οἰκίας δὲ prise en charge des patients dans des ὁκόσας ἂν ἐσίω, ἐσελεύσομαι ἐπ ὠφελείῃ καμνόντων, ἐκτὸς ἐὼν πάσης ἀδικίης ἑκουσίης καὶ φθορίης, τῆς τε ἄλλης καὶ ἀφροδισίων ἔργων ἐπί τε γυναικείων σωμάτων καὶ ἀνδρῴων, ἐλευθέρων conditions τε καὶ δούλων. Ἃ δ ἂν d égale ἐν θεραπείῃ ἢ ἴδω, qualité ἢ ἀκούσω, ἢ pour καὶ ἄνευ θεραπηΐης tous κατὰ βίον ἀνθρώπων, ἃ μὴ χρή ποτε ἐκλαλέεσθαι ἔξω, σιγήσομαι, ἄῤῥητα ἡγεύμενος εἶναι τὰ τοιαῦτα. Ὅρκον μὲν οὖν μοι τόνδε ἐπιτελέα ποιέοντι, καὶ μὴ ξυγχέοντι, εἴη ἐπαύρασθαι καὶ βίου καὶ τέχνης δοξαζομένῳ παρὰ πᾶσιν ἀνθρώποις ἐς τὸν αἰεὶ χρόνον παραβαίνοντι δὲ καὶ ἐπιορκοῦντι, τἀναντία τουτέων. Liberal, Hospitalier, Médecin du travail, de santé publique, Équipes, relais 8 8

9 SSI DE QUOI PARLE T-ON? La sécurité des systèmes d information recouvre l ensemble des moyens techniques et organisationnels pour garantir, au juste niveau requis, la sécurité des informations Disponibilité Intégrité Confidentialité Preuve 9 9

10 RISQUE Menace une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation Vulnérabilité Une vulnérabilité est une faiblesse dans un système d information permettant à un attaquant de porter atteinte à l intégrité de ce système, à sa confidentialité et à son intégrité. Impact effets ou conséquences attendus et inattendus d'un événement 10 10

11 11 11

12 COMPLEXIFICATION DES SI 12 12

13 SI EN SANTÉ (ES/EMS) SIH OC GTB GTC 13

14 SIS : problématique Maîtrise des risques IT, Métier, Légaux Risque légal Obligations légales non respectées Double saisie du PMSI Gestion budgétaire altérée Déploiement CPS non contrôlé Risque métier Non-interopérabilité des SI cliniques Fiabilité altérée des diagnostics Fuite de données, données corrompues Efficience des procédures Risque IT Conformité Intégrité Supervision Gestion approximative des actifs IT Multiples failles de sécurité Comportements et usages déviants Hétérogénéité des versions des logiciels Indisponibilité et mauvaise performance 14

15 UN MONDE ABSCONS SECURITE MALWARE

16 DONNÉE, PROGRAMME OU MALWARE? #include <stdio.h> int main (int argc, const char * argv[]) { FILE *fi, *fo; char *cp; int c; if ((cp=argv[1]) && *cp!='\0') { if ((fi=fopen(argv[2],"rb"))!= NULL) { if ((fo=fopen(argv[3],"wb"))!= NULL) { while ((c=getc(fi))!= EOF) { if (!*cp) cp=argv[1]; c ^= *(cp++); putc(c,fo);} fclose(fo);} fclose(fi); }}} Compilation C FFD E C F BE00104BFFF Insertion 16 16

17 Source M. Raux RISQUE RENFORCÉ PAR LE CONTEXTE D USAGE Conformité (atteinte du modèle) Bonne Pratique (recommandation) Usage (réalité) 17 17

18 RISQUE RENFORCÉ PAR LE CONTEXTE D USAGE Conformité (atteinte du modèle) Bonne Pratique (recommandation) Usage (réalité) 18

19 PRISE EN COMPTE 19 19

20 MAUVAISE PRISE EN COMPTE DE LA SÉCURITÉ 20 20

21 21 21

22 NÉGATION DU DANGER 22 22

23 «A ce jour, à cause de l informatique, nous risquons de sortir d un hôpital dans un état pire que celui dans lequel nous y sommes entrés» Patrick Pailloux Directeur de l ANSSI Conférence de clôture SSTIC

24 24 24

25 25 25

26 LES ÉTAPES D UNE ATTAQUE Reconnaissance Intrusion Deployer des outils Pérenniser l accès Explorer et se propager Exfiltration 26 26

27 LES ÉTAPES D UN INCIDENT Déviances par rapport aux règles et protocoles Erreurs humaines Mauvaise organisation Déficit de communication Défaut d analyse de risques Développement des technologies de l information 27 27

28 TOP failles de sécurité = 99% des failles de sécurité dans les organismes Gestion des droits Systèmes trop verbeux DNS Controleur de domaine Relations de confiance Protocoles d administration Base de données Partage des fichiers Serveurs abandonnés WEB (SQL, XSS, gestion de session ) Mots de passe Failles historiques Récupération des utilisateurs d un domaine rpccllent # > rpcclient <ip> -p 139 _U% -c enumdomusers # > rpcclient p 139 -U% -c querygroupmem 0x200 session request to failed (Called name not present) rid:[0x1f4] attr:[0x7] > Failles humaines Exemple : Un collaborateur donne son mot de passe à un faux administrateur système au téléphone > Failles applicatives > Failles inconnues 28

29 PETITES CAUSES MAIS GRANDS EFFETS Au début des années 90, une patiente et un autre patient d un grand hôpital parisien sont décédés. L enquête à montrer que le mari de la patiente s était introduit dans le SI de l hôpital pour modifier le paramètre des alarmes du dispositif ( 2009, Alerte «MARS» conficker infeste une majorité de structures de soins Aujourd hui, conficker continue a se mettre à jour (lui) dans un grand nombre d établissements de soins 29 29

30 LES APPAREILS MÉDICAUX ET LES LOGICIELS MALVEILLANTS: LES GRANDES «INFECTIONS» NOSOCOMIALES Conficker 30

31 Chronique d un équipement biomédical : 17 avril 2009 Acquisition 2008 Conficker Check ANTIVIRUS Conficker infected Non mis a jour depuis

32 Ex : Contrôle de l ensemble des SI d un EDS en 1 matinée Re-paramétrage d appareils biomédicaux (ex : radiothérapie) Accès en Telnet : Id admin pas de mot de passe shutdown <-r> < h> now, reboot, halt Logiciel chimio avec soucis d intégrité 32 32

33 Raisons de sécuriser Premier piratage biomédical 2008 Black Hat Talk: défibrilateur cardiaque implantable Recherche sophistiqué et peu pratique pour le public Vulnérabilités par des mots de passe codés en dur et RF attaques par rejeu 33

34 Raisons de sécuriser Pompes a insuline 2011 Black Hat Talk Device data not Encrypted or Authenticated Protocol Analysis & Reversing Required to Understand Security Posture JEROME RADCLIFFE 34

35 Raisons de sécuriser Insulin Pump First demonstrated the wireless hacking of insulin pumps Pacemakers Ability to assassinate a victim by hacking his pacemaker 35

36 Raisons de sécuriser Pacemakers fuites de données d un poste via un pacemaker CNISS Le Mans ARS Bourgogne ARS Pays de Loire Ministère SFC 01/07/2015 Hôpital Gabriel Martin 36

37 Le piratage des systèmes de perfusion médicaux, nouvelle vision d horreur Envoyer des doses fatales à des patients, à distance depuis un ordinateur, c est désormais possible. Car ces appareils sont connectés, mais mal sécurisés. Gilbert Kallenborn 01net le 10/06/15 à 09h02 37

38 Hasard? 38

39 DES POSTES NON STANDARDS Impact SI Impact métier Impact Management Pertes de temps Gestion compliquée du parc Maintenance complexe Perturbations par applications non souhaitées Hétérogénéité et non interopérabilité entre sites, services Mauvaise qualité de services Faible performance économique des SI Coûts additionnels de gestion Constat : 90% des EDS sans standards applicatifs bureautiques en moyenne : 5 versions de XP (4 officielles!), 4 versions de MS Office,40% d applications non souhaitables, car à risque * 1 CHU avec 63 browsers différents! * Problématique : Mesure du niveau de standardisation du parc de PC? 39 39

40 DES SI CLINIQUES NON HOMOGÈNES Impact SI Impact métier Impact Management aintenance chère ou absente Dysfonctionnement Dégradation performance, disponibilité Versions périmées Mauvaise interprétation des résultats Erreurs de mesures Erreurs de diagnostic Responsabilité pénale Réputation Coûts et non ROI Retard dossier patients Constat : des EDS avaient plus de 8 versions par SI cliniques critiques (5 versions différentes de viewer DICOM) 80% des EDS ont plusieurs SI cliniques «concurrents» non interopérables Problématique : Mesure du niveau de conformité applicative? 40 40

41 UNE RÉALITÉ Nb Incidents traités depuis le 01/01/2015 Santé 64 Santé 34% Incidents Travail Sports 66% Attaques 11 % Attaques bloquées réussies 89% 41

42 42 42

43 43

44 01/05/2015 Piratage Centre de radiothérapie Effacement de toutes les bases 44 44

45 RÉSULTATS Fichiers perdus Induction d erreurs Ralentissement / Interruption des missions / perte de chances Incident délétère pour les patients Facteur de coûts directs et indirects : (EHPAD) <Surfacturation téléphonique< (CH) 2j/h <Intervention <36j/h Mise à niveau à prévoir (organisationnelle et technique) Potentiellement un risque juridique fort (SI non conformes, fuites de données personnelles ) Il est urgent de maîtriser les risques induits par les systèmes d information et leur utilisation pour réduire les risques métiers et ainsi les risques légaux. 45

46 DE MULTIPLES POINTS D ENTRÉE responsabilité d un tiers / prestataire smartphone/tablette/usb systèmes hétérogènes / MCS malveillances déviances par rapport aux protocoles erreurs humaines mauvaise organisation Qui prennent de l ampleur à cause de détections tardives : 173,5 jours Mobilisation de 20 à 150 jours / hommes 46

47 INCIDENT Critique Majeur Mineur ** Fonctionnement normal * * SI MCO et MCS en œuvre **En matière de SSI se méfier des élément considérés comme mineurs Cf. Cryptovirus 47

48 GESTION DES ÉVÈNEMENTS SSI Détection d un incident Tout agent Alerte Resp de proximité, AQSSI, sécu opér. FSSI Analyse Resp de proximité, AQSSI, sécu opér. FSSI Qualification AQSSI, sécu opér. FSSI Alerte Autre Org. Traitement / Appui Cellule de crise / FSSI Capitalisation Capitalisation 48

49 ACTUS Publié le 22/06/2015 Cybercriminalité: la fonction sûreté des données en établissement de santé laisse à désirer Si elle "commence à trouver sa place dans de nombreux hôpitaux", la fonction sécurité des SI est "souvent mal périmétrée, mal placée et mal contrôlée». conférence des salons santé autonomie (SSA). 49

50 50 50

51 AQSSI Stratégique Pilotage Porter la stratégie de sécurité Organiser et contrôler le déploiement de la Politique de Sécurité (PSSI). Sponsor Permettre aux intervenants en charge de cybersécurité d accomplir leur mission et les appuyer S assurer de l efficience des actions de sécurité Opérationnel 51

52 OBJECTIF : LA JUSTE SÉCURITÉ Trop de sécurité nuit à la sécurité À tout interdire, le risque est multiplié et imprévisible (contournements) Sécuriser a un coût, ne gaspillons pas l argent public (protéger ce qui doit l être, à sa juste valeur) Pas de sécurité nuit à la sécurité Supposer que chacun est conscient des risques est un pari osé Penser que le SI n intéresse personne est une hérésie Déterminer les niveaux de risques pour chaque périmètre du SI 52

53 AMÉLIORATION 90% des incidents proviennent de sources internes 20% de mesures adéquates de base réglent 80% des problèmes La sécurité n est pas un problème de moyens mais de gouvernance, de compétences et d appropriation 53

54 SOLUTIONS Définir clairement le périmètre SSI : - Informatique; - Biomédical; - Infra Inventorier les actifs; Gérer des risques; Impliquer l ensemble des acteurs du monde de la santé (internes, constructeurs, éditeurs ); Ajouter des clauses SSI dans les procédures d achats; - MAJ de l environnement Eviter le : - «tout ce qui n est pas explicitement interdit est autorisé». Communiquer : chaîne d alerte SSI. 54

55 CHAÎNE D ALERTE CYBER Plus l information circule, plus elle crée de la valeur Ne pas avoir honte de s être fait pirater, Le voir est déjà une marque d un système bien géré! Si de surcroît vous faites«remonter» l information, vous rendez service à toute la communauté 55

56 ET AU-DELÀ? Faites-vous encore confiance en vos systèmes d information de santé? Thank you for being so patient 56 56

57 remerciements Pour divers éléments insérés dans cette présentation, cherchez, ce sont forcement les meilleurs. Dr Valérie Serra-Maudet Dr Jean-Pierre Blum Vincent Trely Cdt Michel Dubois Michel Raux CH du Mans APSSIS Service de santé des armées Ch Versailles 57 57

58 Cédric Cartau ANNUAIRES : LES BONNES PRATIQUES Enseignant EHESP Auteur de 5 ouvrages sur les SIH Chroniqueur dans DSIH Magazine Cedric.cartau@chu-nantes 58

59 LES ANNUAIRES - FONDAMENTAUX Etude du GMSIH concernant la nécessite de 9 annuaires : personnels, habilitations, patients, UF, locaux, équipements, correspondants externes, offre de soins, prestataires Exemple des annuaires patient et UF Loi des annuaires pas d annuaire SI organisé en silos 59

60 CONTRAINTES NORMATIVES Sans annuaire Imputation des traces d accès Internet impossible (risque pénal pour la DG) Pas de certification des comptes Pas de respect HAS v2014 / HN Risque de contentieux concernant la donnée médicale : confidentialité, intégrité Frein dans la constitution des GHT Pas d ouverture du SIH à l extérieur 60

61 Présentation de la solution : architecture fonctionnelle Service de gestion des identités Référentiel EvRH Référentiel REFERENCE Référentiel GIP- CPS Référentiel Clinicom Active Directory ID Synchronization Alimentation amont Synchronisation des référentiels Approval Workflow Workflow d approbation Formulaires Demandes & Approbations Service de gestion des cartes Outils de gestion des identités Services PB/PJ Web Serveur Notification : Mail Web Self services Evidian CMS Microsoft PKI Service de gestion des habilitations Service de gestion des accès Station de travail Client léger Evidian Enterprise SSO Authentification CPS SSO Gestion des accès Cas d usage Self-Service Délégation Audit & Reporting Web Access Manager Fédération d identités SSO Authentification certificats CPS EvRH Active Directory Application Mode (ADAM) Référentiel central d identité Service de gestion des traces Active Directory Lotus Centaure Clinicom Diamic Formulaires Demandes & Approbations Notification : Mail Policy Manager Gestion de la politique de sécurité Gestion des rôles Réconciliation User Provisioning Alimentation aval Approval Workflow Workflow d approbation Fusion Pegase Hémo Impax Dxlab Oncolog Monétique... 61

62 LES LEVIERS DU PROJETS Un projet organisationnel d abord MOA = DRH / DAM et non pas DSI Le back office, enjeu majeur Remise à plat des sources d identité Standardisation des processus métier Le front office ou la cerise 62 62

63 BÉNÉFICES COLLATÉRAUX Carte multiservices SIH, locaux, self, parking Service de signatures DAF, bureau des marchés, DRH/DAM, etc. Provisionning plus rapide (2j vs 2 mois) SSO, la simplification majeure 63

64 64 64

65 65

66 66

67 RETOUR D EXPÉRIENCE GHER Groupe Hospitalier Est Réunion Sandrine MAUGUIN Directrice Adjointe chargée du dialogue social, des ressources humaines et de l appui au management du GHER (Groupe Hospitalier Est Réunion)

68 RETOUR D EXPÉRIENCE GHER : CONTEXTE Contexte du projet annuaire GHER en 2011 Croissance de l établissement :Reprise des activités de la CSB au profit du CHI devenu GHER (Janvier 2010) et en lien avec le PSE De nouvelles contraintes d organisation, d intégration, de sécurisation et de traçabilité Opportunité unique liée à la construction du nouvel hôpital et à la préparation du déménagement sur le nouveau site : Une réelle effervescence au service de la nécessaire rénovation des organisations Réflexion sur les organisations de l ensemble des services de soins en lien avec les nouvelles capacités. Mise en place de groupes de travail pluridisciplinaires pour optimiser les fonctions transversales ( équipes de liaison, brancardages, secrétariat médicaux, logistique..) Une volonté de partage des pratiques entre les personnels issus du privé et du public, base de l amorce d une nouvelle culture commune. Une nécessaire évolution des technologies et notamment en matière de sécurisation des locaux,(projet contrôle d accès par badge sur le nouveau site ) 68

69 RETOUR D EXPÉRIENCE GHER : FINALITÉS Finalités de l annuaire GHER Projet ayant un fort impact sur l organisation et la gestion des personnes et des ressources. Fédérer l ensemble des annuaires (personnes, structures, techniques..) existants à l hôpital dans un référentiel unique. Renforcer le niveau général de sécurité et garantir la cohérence d attribution des droits d accès aux ressources (locaux, applications ). Déléguer fonctionnellement la gestion des ressources. Simplifier la recherche de personnes ou de ressources. (Pages jaunes/blanches) Attribuer de manière automatique ou guidée les droits sur les systèmes d information. Informatiser la transmission des mouvements de personnes et leur impact en terme de droits. 69

70 RETOUR D EXPÉRIENCE GHER : LES PRÉ REQUIS RH Finalités de l annuaire GHER Implication en matière RH : les prérequis Nécessaire implication des services RH ( DRH/DAM) Définir les critères déterminants les droits Les fonctions (grade, métier ) Le service d affectation Le statut ( Tit /CDD) Fiabiliser les données relatives au personnel (connexion avec le SIRH) l Identité de l agent Les fonctions Le service d affectation La date d entrée et de sortie en lien avec le statut 70

71 RETOUR D EXPÉRIENCE GHER : LES PRÉ REQUIS RH Finalités de l annuaire GHER Implication en matière RH : les prérequis Partager les données en temps réel: objectifs Garantir les droits dés l entrée en fonction Coordonner les droits aux changements de fonction, de service Mettre fin aux droits dés la sortie Partager les données en temps réel : incidences Nécessaire fiabilisation des processus RH partagés avec les autres directions Recrutement Mobilité Fin de fonction Mise à jour du SIRH en temps réel et pas seulement en lien avec les actes de GRH (paie ) 71

72 RETOUR D EXPÉRIENCE GHER : 2 PROJETS MENÉS EN PARALLÈLE Le projet annuaire GHER et ses incidences RH: deux projets en parallèle P1 Cartographie des processus de gestion des personnes et définition de l organisation cible Piloté par la Direction des Ressources Humaines avec l appui de la Direction de la Qualité Soutien d un intervenant (CNEH) Analyse des processus RH partagés d accueil, de mobilité et de fin de fonction Définition de l organisation cible Synchronisation avec le projet annuaire P2 Mise en œuvre de l annuaire Piloté par la DSIO en lien avec l intégrateur Périmètre : Toutes les personnes qui interviennent au GHER (Personnels rémunérés ou non, prestataires, etc...) Recueil des besoins et des contraintes Architecture fonctionnelle cible Architecture technique cible Intégration accompagnem ent 72

73 RETOUR D EXPÉRIENCE GHER : LA CARTOGRAPHIE DES PROCESSUS RH Méthodologie Une implication de l encadrement Un groupe de travail DRH/DAM/DSSI/Cadres Une remise à plat des processus Un partage des attentes de la DRH et de la DAM Une prise en compte des contraintes de l encadrement Un processus intégrant l ensemble des interactions Véritable circuit d intégration des nouveaux professionnels Clarification du qui fait quoi 73

74 Présentation des Macro-processus I. Arrivée II. Mobilité interne III. Départ MACRO-PROCESS ARRIVÉE D UN PERSONNEL NM Politique des ressources humaines Besoin recrutement Validation du besoin par DRH/DSSI Sélection CV (x4-5) Candidat disponible? Rencontre postulant (DSSI+DRH Support compétences) AVIS Validation choix DG Comm. Choix cadre/df+ DSSI RdV de contractualisation DRH Rencontre futur embauché (cadre) Prise de fonction Intégration et début tutorat CLIENTS - Personnels NM (titulaire, contractuel CDD/CDI, stagiaires) +Cadre de santé, DSSI, Directeurs fonctionnels (DRH, DSIO, DQ, Dtravaux, DG) - Services/unités : service Informatique, PC Sécurité, Pharmacie, secrétariat médecine du travail, Blanchisserie, Restauration 74

75 ARRIVÉE D UN PROFESSIONNEL : Points critiques et délais Politique des ressources humaines Besoin recrutement Validation du besoin par DRH/DSSI Sélection CV (x4-5) Candidat disponible? Rencontre postulant (DSSI ou DRH) AVIS -Date souhaitée du recrutement - validation systématique par supérieur(s) - signification de l urgence -Remplissage ORBIS/Annuaire - Mails automatiques aux Ressources - Remise Guide Agent Entretien préaccueil : - Explication Parcours d arrivée - Préparation tutorat et intégration -Parcours d arrivée selon Plan de visite - Visa du responsable de traçabilité visite Validation choix DG Comm. Choix cadre/df+ DSSI RdV de contractualisation DRH Rencontre futur embauché (cadre/ DF)* Prise de fonction Intégration et début tutorat J-24 à 48h J-24 à 48h J0 75

76 Cibles ORBIS/Annuaire MAIL AUTOMATIQUE depuis Annuaire (J-48h à 24h avant prise de fonction) DSIO : - Ouverture comptes - Création Mail - Droit accès logiciels - mat./équipement info (PC, DECT ) SRH : Edition Badge nominatif (Non soignants) Blanchisserie : Commande linge : Taille, nb exemplaires, nom/prénom/servi ce/fonction Equipe Bio nettoyage (appart. Médical) Secrétariat Médecine préventive : Alerte pour prise de rdv sous 8j Pharmacie : Signature électronique + inscription liste prescripteurs (Médecin, Sagefemme) PC Sécurité : Préparation Carte accès nominative À définir dans Politique DSIO 76

77 Technique RETOUR D EXPÉRIENCE GHER : ORGANISATION ET COÛT DU PROJET ANNUAIRE Le projet GHER Durée : 6 mois Coûts externes : 75 K (Licences 25 K & Prestations 50 K ) Une organisation projet dédiée impliquant fortement les métiers, notamment DRH, DSSI et DAM. Comité de Pilotage DRH, DG, DSSI, Affaires Médicales et DSIO Equipe projet Référent DRH, 2 Référents DSSI, Référent Affaires médicales, Référent DSIO Ateliers Interfaces Ateliers ressources Ateliers Exploitation Ateliers Données Ateliers Processus Métier Ateliers (2 à 4 réunions par atelier selon les thématiques) 77

78 RETOUR D EXPÉRIENCE GHER : PÉRIMÈTRE FONCTIONNEL Ressources pouvant être attribuées de manière automatique ou manuelle : Clé de locaux et/ou de vestiaire Compte informatique Boite de messagerie Déployées Dosimètre Annuaire GHER Accès distant à la boite de messagerie Vêtements Badge d accès Reste à déployer Téléphone mobile Applications métiers Badge restauration 78

79 RETOUR D EXPÉRIENCE GHER : ATELIERS DONNÉES Objectif : recenser les données personnes, structures, sites, locaux, fonctions, à importer dans la solution (DRH,DSSI, DSIO, ). Enjeu : recherche d un référentiel commun au SIH - pour une gestion des identités et des droits d accès par profil type - vers l automatisation de l allocation des ressources Illustration : définition fonction type et profil type. Définition d une fonction type Définition d un profil Grade Poste Fonction type Service Ressources Droits et accès Fonction type Normalisation et automatisation des profils 79

80 RETOUR D EXPÉRIENCE GHER : ATELIERS PROCESSUS Objectif définir les processus pour l ensemble du personnel (salariés et externes : DRH,DSSI, DSIO, AFFAIRES MEDICALES, QUALITE) relatifs à - l'arrivée - la mobilité - les départs Enjeu : fiabilisation des processus internes par la définition d un dispositif de qualité/contrôle interne paramétrable dans la future solution. Illustration : approche méthodologique. Missions du service RH Définition des missions Missions d un service GHER Déclinaison des processus Entrée Mobilité Sortie 80

81 RETOUR D EXPÉRIENCE GHER : APPORTS / GAINS DU PROJET D UN POINT DE VUE MÉTIER Suivi des effectifs (RH) Suivi des ressources Pilotage Capacité des référents métiers à gérer les droits / ressources de leurs équipes Autonomie et réactivité Management Amélioration des organisations du travail internes aux services Garde-fou pour les procédures Limite ressaisie inter SI Qualité des processus Qualité de service Amélioration délais de mise à disposition des ressources au personnel et suivi des incidents Traçabilité des droits et ressources Traçabilité des identités au niveau du SIH Audit Gestion des risques Retrait des ressources synchronisé avec la vie/fin du contrat de travail : protection SI et Equipements. Sécurité Contrôle des accès aux SI et Bâtiments 81

82 RETOUR D EXPÉRIENCE GHER : SYNTHÈSE Annuaire de l Etablissement de Santé : un projet organisationnel et fonctionnel TECHNIQUE 20 % Organisation 80 % Un projet transverse La DG (garante de l organisation, l organigramme ) Les RH (Garants de l'identité et des fonctions) Les directions métiers (validation et demande des ressources) Les gestionnaires (gestion des droits et attribution) Le service Communication (annuaire pages blanche,.) Rester Pragmatique Ne pas vouloir tout faire en même temps. Nécessité d un Portage fort DG, RH et DSI Projet structurant et qui s inscrit dans la durée. Nécessaire actualisation pour permettre de prendre en compte les modifications organisationnelles

83 Merci pour votre attention