GCS e-santé ARCHIPEL. Présentation du SI Messagerie sécurisée de santé. 13/10/2015 Système d'information régional messagerie sécurisée 1

GCS e-santé ARCHIPEL Présentation du SI Messagerie sécurisée de santé 13/10/2015 Système d'information régional messagerie sécurisée 1

RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP DGOS) la Direction Générale de l Offre de Soins (DGOS) a publié une instruction sur le déploiement des messageries sécurisées de santé (cf note instruction du 23 décembre 2014 en annexe de ce document). D ici la fin 2015, tous les établissements et acteurs de santé devront être en capacité d échanger avec les messageries sécurisées MSSanté. Ce projet de mise en œuvre de messageries sécurisées de santé doit permettre les échanges de données de santé et faciliter ainsi la coordination des soins entre le secteur hospitalier et le secteur libéral. En tant que maitrise d ouvrage régionale des systèmes d information de Santé, et sous l égide de l ARS, le GCS ARCHIPEL 971 (Groupement de Coopération Sanitaire) se voit confier la mission de déployer une messagerie sécurisée de santé régionale conforme aux recommandations de l ASIP et compatible MSSanté. 13/10/2015 Système d'information régional messagerie sécurisée 2

RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP DGOS) 13/10/2015 Système d'information régional messagerie sécurisée 3

RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP DGOS) 13/10/2015 Système d'information régional messagerie sécurisée 4

UNE SOLUTION GLOBALE la santé connectée aux services des patients 13/10/2015 Système d'information régional messagerie sécurisée 5

AGENDA Présentation Fonctionnelle de la messagerie sécurisée Présentation de la suite Zimbra Présentation des fonctionnalités Idéo Securemail Cas d usage Architecture technique Présentation du proxy MSS dimensionnement Trajectoire du projet 13/10/2015 Système d'information régional messagerie sécurisée 6

MESSAGERIE SÉCURISÉE Solution de messagerie sécurisée, dédiée aux professionnels de santé, permettant l échange de messages dans une logique de confidentialité. PRINCIPALES FONCTIONNALITES - Echange de messages sécurisés - Standards de messagerie intégrés - Recherche de professionnels multicritères - Accès simplifié à l information médicale - Envoi de documents médicaux optimisé vers l entrepôt XDS-B - Signature numérique authentifiant l expéditeur - Zimlet de recherche dans l annuaire référentiel - Zimlet de recherche dans le serveur d identité patient - Proxy MSS - Proxy Apycript - Authentification via une PKI local pour les acteurs ne possédant pas de compte MSS UNE MESSAGERIE ACCESSIBLE, FIABLE ET SÉCURISÉE - Authentification sécurisée via carte CPS, OTP - Messagerie pilotée par Idéo Directory - Compatibilité avec les messageries classiques - Couverture fonctionnelle riche - Application extensible - Application 100% web, accessible partout - Messagerie multi-domaines - Intégrée dans la suite Idéo Portal - Intégrée avec l annuaire Référentiel Idéo Directory v 13/10/2015 Système d'information régional messagerie sécurisée 7

LES OFFRES DE LA SUITE IDÉO SECUREMAIL Le GCS Archipel dispose des 3 modules pour propose l offre complète 1 2 3 Messagerie centralisé Zimbra collaboration suite 8.0 Annuaire synchronisé avec RPPS et L annuaire MSS Sécurité des accès avec Idéo SSO provisionning automatique des comptes et de la création des boîtes aux lettres avec Idéo Directory Zimlet PIX manager Zimlet entrepôt XDS-B Zimlet DMP Zimlet Annuaire unifié Messagerie Inter-applicative Proxy MSS centralisé Proxy Apycript Proxy MSS, LDAPS, SMIME SMTP(s) Création automatiques des boîtes aux lettres multi domaines Gestion d une PKI Moteur de règles permettant la définition des correspondances Boîte aux lettres unifié Interopérabilité avec les solutions de Messagerie existantes Exchange, Lotus, Zimbra Supervision, audit et traçabilité Messagerie centralisé Zimbra collaboration suite 8.0 Annuaire synchronisé avec RPPS et L annuaire MSS Sécurité des accès avec Idéo SSO provisionning automatique des comptes et de la création des boîtes aux lettres Zimlet PIX manager Zimlet entrepôt XDS-B Zimlet DMP Zimlet Annuaire unifié Messagerie Inter-applicative Proxy MSS centralisé 13/10/2015 Système d'information régional messagerie sécurisée 8

IDÉO SECUREMAIL Envoi de document À l entrepôt XDS Signature et chiffrement Authentification forte Idéo SSO Carte CPS OTP Idéo securemail Une messagerie multi-domaine Basée sur ZCS ZIMBRA 8.0 Compatibilité MSS, Apicrypt Web 2.0 Intégration Bureau Virtuel Une interface Web 2.0 Proxy Apycript Accès à l annuaire de l ENRS Un moteur de recherche élaboré basé sur des expressions régulières Un système de classement par conversation autour d un patient Un système de classification des mails en fonction de la nature des échanges Proxy MSS Basé sur ZCS 8.0 Une compatibilité avec les clients de messagerie du marché non intrusif sans installation d un plugin (Outlook, Lotus Notes, Mozilla Thunderbird ) Une intégration forte avec l annuaire LDAP de l établissement ou de la région synchronisé avec l annuaire MSS et RPPS Une intégration forte dans la suite Idéo santé Personnalisation des listes de diffusion Demande de certificat de chiffrement et de signature au gestionnaire de la PKI Sécurité des accès via le SSO, OTP password Signature et chiffrement des messages avec la carte de professionnels de santé Respect des standards S/MIME X509 CPS Interopérabilité avec un serveur d identité PIX Manager Possibilité d envoyer un document à un entrepôt XDS-B en format HL7 CDA R2 Messagerie inter applicative avec Idéo Connect 13/10/2015 Système d'information régional messagerie sécurisée 9

FONCTIONNALITÉS Les fonctionnalités principal de ZIMBRA 8.0 Zimbra est un système de messagerie collaborative complet Open Source. L'accès natif est proposé à l'aide de client web AJAX. Ses fonctionnalités de base sont le mail, le calendrier, l'annuaire, les documents, le chat, les tâches et la synchronisation mobile CLIENTS WEB ADMINISTRATION MOBILE AUTRES DESKTOPS Interface AJAX permettant le copier/coller, les libellés et les vues par conversation Console d'administration AJAX Archivage des boîtes aux lettres Accès Web mobile Natif synchronisation aux applications Apple via Zimbra isync Connector et CalDav Recherche évoluée incluant les fichiers en attachements Le partage de tous les objets du système Système de sécurité Anti-spam et Anti-virus intégré LDAP et Active Directory intégrés Délégation d'administration Support pour tous les clients POP3 et IMAP Calendrier d'entreprise Édition de document en ligne Intégration d'application tierce grâce aux mash-up 13/10/2015 Système d'information régional messagerie sécurisée 10

Zimbra DESKTOP Ajax Web Client MS Outlook FONCTIONNALITÉS ZIMBRA Les fonctionnalités principal de ZIMBRA 8.0 zsync zsync MAPI isync CalDav Zimbra Server Zimbra Sync IMAP,POP,CalDav, Ical, RSS Les avantages de Zimbra pour l utilisateur : Accessible de partout : de l hôpital, de chez soi, de l hôtel, etc. Choix du client : Zimbra webmail, Zimbra Desktop, Zimbra Mobile, Outlook, Thunderbird et tout autre client supportant les standards POP/IMAP et ical/caldav. Le client web Ajax fonctionne depuis n importe quel ordinateur Travail collaboratif et productivité accrue Gestion des boîtes aux nombreux emails facilitée par les étiquettes, la vue par conversation et la recherche avancée Toutes les fonctions disponibles au sein de la même interface : emails, agendas, carnets d adresses, fichiers, tâches, messagerie instantanée Extensions pour applications médicales Idéo sécurmail : Envoi de mail vers l espace de confiance MSS Envoi de mail vers Apicrypt Apple Desktop Standards Clients 13/10/2015 Système d'information régional messagerie sécurisée 11

Mail FONCTIONNALITÉS ZIMBRA Les fonctionnalités principal de ZIMBRA 8.0 Possibilité de partager un dossier de messagerie, de définir des boîtes mail génériques ou encore des groupes d utilisateurs (avec une adresse de groupe) Carnet d adresses Créer et gérer plusieurs carnets d adresses Partager des carnets d adresses personnels Partage de carnet d adresse avec d autres utilisateurs Import des données depuis les carnets d adresse actuels (en CSV) Calendrier Créer facilement des événements Possibilité de consulter les disponibilités des utilisateurs Possibilité de partager des calendriers entre les utilisateurs Accès à la réservation de ressources (salle, matériel ) Tâches Possibilité de créer des listes de tâches et de les gérer Partager les carnets de tâches avec d autres utilisateurs Porte-documents Déposer des fichiers en ligne pour toujours les avoir avec vous Créer des documents et utiliser le versioning sur ces documents Partager certains espaces avec d autres utilisateurs Préférences Possibilité de personnaliser les modules de Zimbra Porte documents Carnet 4 5 Tâches D adresses Calendrier Préférences 13/10/2015 Système d'information régional messagerie sécurisée 12 3 Mail 1 2 12 6

FONCTIONNALITÉSIdéo Securemail Les fonctionnalités principales Idéo Sécuremail 1-recherche d un correspondant ayant Une boîte aux lettres MSS 2-Validation intelligente de l adresse Mail Proxy MSS 6 1 Accès depuis le portail 1-recherche d identité 2-Création d un dossier via l assistant de création 5 SS0 4 Zimbra Server 2 Synchronisation Annuaire 3 Annuaire Référentiel 1-Création de boîtes aux lettres depuis la création des comptes 2- synchronisation de l annuaire référentiel avec le GAL Zimbra 3-Zimlet de recherche de professionnels de santé 1-Envoi de document vers l entrepôt XDS 2- Signature de document 3-Envoyer un document à l entrepôt Entrepôt XDS-B Zimbra Sync Recherche d identité Serveur D identité patient 1-recherhce d identité patient 2-Ajout d un patient dans la liste des contacts 3-Envoyer un document à l entrepôt Entrepôt XDS-B 13/10/2015 Système d'information régional messagerie sécurisée 13

FONCTIONNALITÉSIdéo Securemail Les fonctionnalités principales Idéo Sécuremail Nom du produit Zimbra collaboration Network Professionnel 8.0 Messagerie Web AJAX Open source Rôle Recherche des les différents annuaires Signature et chiffrement Zimlet Annuaire Zimlet CPS,Zimlet demande de certificat de chiffrement Zimlet signature,zimlet préférences Mailet «proxy Apycript»,Mailet «gestion d une PKI» Authentification via Idéo SSO Intermédiation avec le serveur d identité Idéo Identity Envoi vers un Entrepôt de données XDS-B Mot de passe OTP,ou carte CPS Zimlet recherche d un patient au niveau d un serveur de fédération et de rapprochement Zimlet médicale conforme la liste des documents DMP en format XDS RedHat Linux Postfix Cyrus Amavis ClamAV Webmin et modules posftix, Amavis, ClamAV SpamAssassin Syslog Monit Net-snmp (compatible SNMP V3) Partimage système d exploitation et applications serveur SMTP Serveur IMAP interface entre serveur SMTP et antivirus antivirus interface d'administration filtre à spam Gestion des logs centralisée Supervision des services Supervision serveur Sauvegarde et restauration à partir d images compressées 13/10/2015 Système d'information régional messagerie sécurisée 14

FONCTIONNALITÉSIdéo Securemail Zimlet identité 1-recherche d identité patient au niveau du serveur d identité régionale 2-la recherche se fait Via des Traits stricts Nom, prénom, date de naissance, commune de Naissance, phonétique 3- si le patient à un dossier, possibilité d envoyer un document vers l entrepôt XDS, 4- sinon possibilité de créer un dossier via un lien SSO vers l application de création de dossier 1 1-possibilité d ajouter une identité du patient dans le carnet d adresse du professionnel 2-l ensemble des contacts patients sont stockées dans un dossier patients au niveau de l onglet contact 2 3 13/10/2015 Système d'information régional messagerie sécurisée 15

FONCTIONNALITÉSIdéo Securemail Zimlet annuaire 1-recherche d un professionnel de santé au niveau de l annuaire régionale 2-la recherche se fait Via les éléments suivants Nom, prénom, profession, spécialité, code postal Activité au sein d un établissement, appartenance à une communauté 3- Possibilité de rédiger un mail directement au professionnel de santé 1-possibilité d ajouter un professionnel dans le carnet d adresse du professionnel et de visualiser s il possède une adresse MMS 2-l ensemble des contacts sont stockées dans le carnet d adresse 1 3 2 13/10/2015 Système d'information régional messagerie sécurisée 16

FONCTIONNALITÉSIdéo Securemail Zimlet XDS-B 1-recherche d identité avec une auto complétion quand le patient possède un dossier d échange ou de partage 2-possibilité de faire une recherche étendu sur le serveur d identité dans le cas ou le patient ne possède pas un dossier 3-Descritption du document a envoyer à l entrepôt XDS-B Titre du document, type de document, accès restreint, date de l événement qui a produit le document 4-Validation de l auteur du document 5-Envoi du document avec l entête XDS-B 1 3 2 13/10/2015 Système d'information régional messagerie sécurisée 17

FONCTIONNALITÉSIdéo Securemail Principes de signature Pour plus de détail sur les principes d authentification : référentiel d authentification des acteurs de santé de la PGSSI-S( http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf) 1-Un Ps peut signer son message grâce à la carte CPS depuis un poste client de messagerie lourd ou à travers le Web mail mis à disposition. Signature 1 2- demande de code PIN de la carte CPS 3- Signature encours 4-Envoi du message signé 2 Demande du code Pin de la carte CPS 3 Traitement du message 13/10/2015 Système d'information régional messagerie sécurisée 18

FONCTIONNALITÉSIdéo Securemail Principes de signature d un mail Plateforme ENRS récepteur 1 2 Envoi du mail à partir d un client de messagerie Le Bloc de sécurité Intercepte le mail et demande à l utilisateur s il veut bien le signer et/ou le chiffrer Envoi de mail 4 Annuaire Régional Certificat public CRL Synchronisation de l annuaire régional Création de BAL Recherche Annuaire Zimbra Server Compte unifié Relève de mail 5 6 7 Le Bloc de sécurité intercepte la demande et va chercher le courrier dans Idéo Securemail Le certificat de Clé publique du correspondant est joint au message et vérifie la validité de la signature 3 L utilisateur décide de le signer uniquement Le Bloc de sécurité utilise la clé privé de la carte CPS pour signer Le mail et l envoi RPPS CRL ADELI ASIP Santé 13/10/2015 Système d'information régional messagerie sécurisée 19 8 Le client messagerie récupère les mails depuis le bloc de sécurité et les affichent

FONCTIONNALITÉSIdéo Securemail Principes de chiffrement d un mail Emetteur Récupération de la clé public du correspondant Plateforme ENRS 3 1 2 Envoi du mail à partir d un client de messagerie Le Bloc de sécurité Intercepte le mail et demande à l utilisateur s il veut bien le signer et/ou le chiffrer L utilisateur décide de le chiffrer uniquement Le Bloc de sécurité utilise la clé public du correspondant stocké dans l annuaire après vérification de la CRL 4 5 Envoi de mail Annuaire Régional Certificat public CRL Synchronisation de l annuaire régional Création de BAL Recherche Annuaire RPPS CRL ADELI ASIP Santé Zimbra Server 13/10/2015 Système d'information régional messagerie sécurisée 20 Compte unifié Relève de mail 6 9 7 8 Le Bloc de sécurité intercepte la demande et va chercher le courrier dans Idéo Securemail Il demande au PS d introduire sa carte CPS qui contient la clé privé pour déchiffrer le message Le client messagerie récupère les mails depuis le bloc de sécurité et les affichent

FONCTIONNALITÉS IDÉO SECUREMAIL Zimlet: gestionnaire de certificats 2- L utilisateur peut faire une demande de certificat directement au GIP-CPS En introduisant sa carte CPS, le formulaire nom, prénom, identifiant, numéro de carte CPS est rempli automatiquement 1- L utilisateur peut gérer son coffre fort Il peut exporter ou importer par exemple son certificat d une clé USB vers son coffre fort 2 Demande de certificat au GIP-CPS Gestion du coffre fort 1 13/10/2015 Système d'information régional messagerie sécurisée 21

ARCHITECTURE IDÉO SECUREMAIL Schéma logique Client Idéo SSO Authentification CPS/OTP/login Mot de passe Widget Portail Zimlet XDS-B Zimlet Identité Zimlet Certificat Zimlet Annuaire API idéo Securemail Crypto lib GIP-CPS Serveur d application JBOSS/OS Linux 64 bits Redhat 13/10/2015 Système d'information régional messagerie sécurisée 22

AGENDA Présentation Fonctionnelle de la messagerie sécurisée Présentation de la suite Zimbra Présentation des fonctionnalités Idéo Securemail Cas d usage Architecture technique Présentation du proxy MSS dimensionnement Trajectoire du projet 13/10/2015 Système d'information régional messagerie sécurisée 23

L ESPACE DE CONFIANCE MSSANTE C est quoi La MSSanté Le système MSSanté repose sur un groupe autorisé de domaines de messageries fonctionnant en vase clos, appelés domaines MSSanté, il repose sur les principes suivants : Universalité : tous les professionnels habilités, quels que soient leurs modes d exercice, doivent être en capacité de disposer d un compte de messagerie sécurisée permettant d échanger avec tous les professionnels habilités, quels que soient les outils utilisés ; Simplicité : l émission et la consultation des messages sécurisées ne modifient pas les pratiques habituelles des autres outils de messageries, y c ompris en mobilité ; Sécurité : l utilisation d une Messagerie Sécurisée de Santé doit assure confidentialité des données de santé à caractère personnel échangées. Le système MSSanté repose sur un «espace de confiance» qui se caractérise par : Un annuaire national MSSanté s appuyant notamment sur le répertoire partagé des professionnels de santé et ayant vocation à référencer l ens emble des professionnels Une liste blanche de domaines qui regroupe l ensemble des domaines de messageries des opérateurs autorisés à échanger dans l espace de confiance MSSanté Un référentiel permettant aux industriels de développer des offres conformes et interopérables entre elles. 13/10/2015 Système d'information régional messagerie sécurisée 24

L ESPACE DE CONFIANCE COURBARIL Une messagerie sécurisée pour l ensemble des acteurs de santé en Guadeloupe La messagerie MSSanté s adresse principalement aux Professionnels de Santés. Pour élargir le dispositif aux acteurs participants à la prise en charge (médico-social, aidants etc.), le GCS Archipel à mis en place son propre espace de confiance «Courbaril» pour la région Guadeloupe & Iles du Nord. L espace de confiance «Courbaril» prend également en comptes tous les professionnels disposant déjà d adresses de messagerie de type ApiCrypt. Le système de messagerie sécurisé «Courbaril» se caractérise par : Un annuaire régional s appuyant sur le répertoire national MSSanté, mais également sur l annuaire des acteurs de santé en Guadeloupe. Une messagerie sécurisée. L espace de Confiance «Courbaril» ne permet d échanger qu avec des acteurs de Guadeloupe, MSSanté et Apicrypt. 13/10/2015 Système d'information régional messagerie sécurisée 25

MESSAGERIE SÉCURISÉE Les modèles de déploiement de la MSS Internet Mail non sécurisé Relais SMTP Espace de Confiance Coubaril Basée sur Idéo SecureMail Envoi et réception sécurisés des mails avec les autres proxys MSS Santé de l espace de confiance, Interrogation de la liste blanche nationale des domaines de l espace de confiance, RASS Synchronisation Web service RASS Annuaire Publication dans l annuaire MSSanté national des boites MSSanté gérées par la plateforme, à partir des données d IdéoDirectory Espace de confiance Mail sécurisé MSS santé Proxy MSS v Synchronisation en local de l intégralité de l annuaire MSSanté national Zimlet annuaire Zimlet Identité Fonctionnement Autonome Proxy MSS Utilisation du Proxy MSS de TerriSanté Domaine de messagerie géré par TerriSanté Compte de messagerie TerriSanté Zimlet XDS-B Accessible depuis le portail ville/hôpital intégrée au domaine de confiance Coubaril AES ETS 3 4 ETS 2 3 ETS 1 2 1 Traçabilité au sens d ATNA 13/10/2015 Système d'information régional messagerie sécurisée 26

MESSAGERIE SÉCURISÉE Les cas d usage 1 Etablissement de santé utilisant le proxy MSS santé de l opérateur Régional Professionnel de santé disposant d un compte De messagerie MSS 5 2 3 Etablissement de santé utilisant son propre Proxy MSS Proxy MSS Sphère Médico Social Proxy MSS Espace de Confiance Courbaril www.esante-guadeloupe.fr Une messagerie sécurisée Pour l ensemble des acteurs Espace de Confiance ASIP Santé 4 Professionnel de santé Disposant d une boîte aux lettres Unifiée de l espace de confiance 6 13/10/2015 Système d'information régional messagerie sécurisée 27

MESSAGERIE SÉCURISÉE Etablissement utilisant les services MSS de l opérateur régional 1 L établissement de santé possède sa propre messagerie standard non sécurisée et utilise la messagerie sécurisée de la plateforme Courbaril L utilisateur possède deux boîtes aux lettres : 1-une boîte aux lettres non sécurisée de son établissement @ch-xxxx.com 2-Une boîte aux lettres nominative sécurisée MSSanté @ch-xxxx.mssante.fr, XXX.YYY@esante-guadeloupe.fr Domaine de l établissement de santé MS Outlook Relais SMTP Internet Thunderbird Client lourd Domaine de confiance Courbaril Domaine de confiance Courbaril Zimbra Server Relais SMTP Courbaril Client Web Athu sécurisée Athu sécurisée Compte unifié Proxy MSSanté Certificats CPS Comptes MSS Liste Blanche Annuaire Local MSSanté Proxy apicrypt Relais SMTPS Apicrypt MSSanté 13/10/2015 Système d'information régional messagerie sécurisée 28

MESSAGERIE SÉCURISÉE Etablissement utilisant le proxy MSS régional dans sa messagerie Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l établissement. Il est en capacité de positionner lui-même l adresse d émission en fonction des destinataires. Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l émission du message vers les adresses non MSSanté à partir de la BAL MSSanté. L utilisateur possède une boîte aux lettre unifiée: 1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com 1 bis Domaine de l établissement de santé MS Outlook e Serveur Messagerie Relais SMTP Relais SMTPS Le proxy MSS n est pas intégrée dans la messagerie Internet Domaine de confiance courbaril Serveur Exchange Proxy MSSanté MSSanté Certificats CPS Comptes MSS Liste Blanche Annuaire Local MSSanté Relais SMTPS Le proxy MSS n est pas intégrée dans la messagerie 13/10/2015 Système d'information régional messagerie sécurisée 29

MESSAGERIE SÉCURISÉE Etablissement utilisant le proxy MSS intégré dans sa messagerie Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l établissement. Il est en capacité de positionner lui-même l adresse d émission en fonction des destinataires. Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l émission du message vers les adresses non MSSanté à partir de la BAL MSSanté. L utilisateur possède une boîte aux lettre unifiée: 1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com 2 Domaine de l établissement de santé MS Outlook Relais SMTP Internet Thunderbird Client lourd Relais SMTPS MSSanté Serveur Exchange Le proxy MSS est intégrée dans la messagerie 13/10/2015 Système d'information régional messagerie sécurisée 30

MESSAGERIE SÉCURISÉE Etablissement utilisant le proxy MSS non intégré dans sa messagerie Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l établissement. Il est en capacité de positionner lui-même l adresse d émission en fonction des destinataires. Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l émission du message vers les adresses non MSSanté à partir de la BAL MSSanté. L utilisateur possède une boîte aux lettre unifiée: 1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com 2 bis Domaine de l établissement de santé MS Outlook Relais SMTP Internet Thunderbird Client lourd Serveur Exchange Proxy MSSanté Certificats CPS Comptes MSS Liste Blanche Annuaire Local MSSanté Relais SMTPS Le proxy MSS n est pas intégrée dans la messagerie MSSanté 13/10/2015 Système d'information régional messagerie sécurisée 31

MESSAGERIE SÉCURISÉE Acteur médico-social, participant au parcours de soins du patient mais n ayant pas droit à la MSS 3 Création d une boite aux lettres dans l espace de confiance Courbaril L utilisateur possède deux boîtes aux lettres : - Une boîte aux lettres nominative sécurisée XXX.YYY@esante-guadeloupe.fr Domaine de l établissement de santé MS Outlook Domaine de confiance Courbaril Athu sécurisée Thunderbird Client lourd Zimbra Server Relais SMTP Courbaril Compte unifié Athu sécurisée Client Web Athu sécurisée 13/10/2015 Système d'information régional messagerie sécurisée 32

MESSAGERIE SÉCURISÉE Professionnel de santé hébergeant sa messagerie sécurisée au niveau régional 4 L établissement de santé dispose d une messagerie unifiée sécurisée dans les espaces de confiance courbaril et MSS L utilisateur possède une boîte unifiée sur deux domaines : 1-une boîte aux lettres sécurisée de XXX.YYY@esante-guadeloupe.fr 2-Une boîte aux lettres nominative sécurisée XXX.YYY@guadeloupe.mssante.fr Professionnel de santé MS Outlook Athu sécurisée Domaine de confiance Courbaril Zimbra Server Relais SMTP Courbaril Compte unifié Thunderbird Client lourd Proxy MSSanté Proxy apicrypt Apicrypt Client Web Athu sécurisée Athu sécurisée Certificats CPS Comptes MSS Liste Blanche Annuaire Local MSSanté Relais SMTPS MSSanté 13/10/2015 Système d'information régional messagerie sécurisée 33

MESSAGERIE SÉCURISÉE Gestion des boites non nominatives l établissement peut faire le choix de déployer que des boites organisationnelles et applicatives et /ou des boîtes aux lettres nominatives. Le format du domaine de messagerie est le suivant : Domaine : chx-x.mssante.fr Boîte aux lettres nominative : DocteurX@chx-x.mssante.fr Boîte aux lettres organisationnelles : organisation@chx-x.mssante.fr Exemple : service@chx-x.mssante.fr Boîte aux lettres applicatives : application@chx-x.mssante.fr 13/10/2015 Système d'information régional messagerie sécurisée 34

MESSAGERIE SÉCURISÉE Envoi des CR depuis un DPI DPI ENRS Professionnels de santé Labo 1 3 Radio CR MSS professionnel de santé HL7, HPRIM HL7, ORU, ORM HL7, CDA R2 Proxy MSSanté 5 BUS Applicatif 2 Certificats CPS Comptes MSS DPI Envoi des mails signés Liste Blanche Annuaire Local MSSanté 4 Domaine de confiance ASIP 13/10/2015 Système d'information régional messagerie sécurisée 35

MESSAGERIE SÉCURISÉE Envoi des CR depuis un DPI Les cas d usage retenus résultent de l analyse des flux d échange ville-hôpital pour chaque établissement. Périmètre : Envoi des comptes rendus (hospitalisation, opératoires, consultation, laboratoire, compte rendus d imagerie médicales ) issus de leur Dossier Patient Informatisé (DPI). Mise en place d un connecteur au niveau du DPI permettant : 1-signature des comptes rendus par le professionnel de santé 2-connaître la liste des destinataires possédant une messagerie MSS, interrogation de l annuaire local MSS de la plateforme Courbaril. 3-Envoi vers les destinataires à travers le proxy MSS. 4-Réception des accusées de réception 5- historisation au niveau du DPI 13/10/2015 Système d'information régional messagerie sécurisée 36

AGENDA Présentation Fonctionnelle de la messagerie sécurisée Présentation de la suite Zimbra Présentation des fonctionnalités Idéo Securemail Cas d usage Architecture technique Présentation du proxy MSS dimensionnement Trajectoire du projet 13/10/2015 Système d'information régional messagerie sécurisée 37

LE PROXY MSS Architecture du proxy MSS L architecture Idéo MSS est un Proxy Opérateur MSS couplé à la solution Idéo Securemail pour offrir à l ensemble des utilisateurs une interface unifié d échange de messagerie sécurisée ou non. Elle répond aux critères suivants : gère les messages MSSanté en offrant une interface unique d accès au compte pour les utilisateurs à travers le web mail ou à travers le client des messagerie des établissements de santé dont le GCS est opérateur MSS gère également la correspondance entre les adresses internes du domaine et les adresses MSSanté. Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le Proxy MSSanté doit refuser l émission du message vers les adresses non MSSanté à partir de la BAL MSSanté. L annuaire local du Proxy MSS est synchronisée avec Idéo Directory pour avoir une vue unifiée depuis le portail pour la fiche des professionnels de santé l annuaire local Proxy MSS est synchronisée quotidiennement avec l annuaire national MSSanté 13/10/2015 Système d'information régional messagerie sécurisée 38

LE PROXY MSS Architecture du proxy MSS Client messagerie Zimbra DESKTOP Relais SMTP Courbaril zsync Proxy MSSanté Ajax Web Client zsync Zimbra Server Certificats CPS Relais SMTPS MSSanté MS Outlook MAPI Compte unifié Liste Blanche Annuaire Local MSSanté Synchronisation de l annuaire MSS santé Annuaire MSSanté Domaine de messagerie de l ENRS Guadeloupe 13/10/2015 Système d'information régional messagerie sécurisée 39

ARCHITECTURE TECHNIQUE Messagerie Afin de répondre aux Normes HDS, l architecture s appuyer sur le stockage SAN pour stocker les boîtes aux lettres. Nous utiliserons la réplication des baies de stockage SAN pour répliquer sur le deuxième site l espace de stockage propre à Zimbra. Relais SMTP(s) Proxy MSS Relais SMTP(s) Bascule de S1 vers S2 Proxy MSS Relais SMTP Service Zimbraen fonctionnement Relais SMTP Service Zimbraen attente DMZ Proxy Apycript Salle 1 LUN ZIMBRA Réplication des LUN(s) DMZ Proxy Apycript Salle 2 LUN ZIMBRA 13/10/2015 Système d'information régional messagerie sécurisée 40

AGENDA Présentation Fonctionnelle de la messagerie sécurisée Présentation de la suite Zimbra Présentation des fonctionnalités Idéo Securemail Cas d usage Architecture technique Présentation du proxy MSS dimensionnement Trajectoire du projet 13/10/2015 Système d'information régional messagerie sécurisée 41

TRAJECTOIRE PAR ÉTABLISSEMENT Etape 1 Etape 2 Etape 3 Etape 4 Cadrage du projet Préparation Mise en œuvre Usages spécifiques 13/10/2015 Système d'information régional messagerie sécurisée 42

PLANNING GÉNÉRAL 2015 2016 Oct Nov Déc Jan Fév Mars Avril Mai Juin Pilotage du Projet Mobilisation Lancement de Projet T0 Pilotage du Projet T0 + 6 mois A M J J A S O N D J F M A M J J A S O N D J 1-Cadrage 2-Préparation Plan Projet Type MSS 3-Mise en œuvre 4 : usages spécifiques Accompagnement Clef de lecture Gouvernance globale du Projet Etape Chantiers Comité de Pilotage stratégique (mensuel) Comité de Suivi de Projet (bimensuel) Comité Opérationnel (selon besoins) Généralisation 13/10/2015 Système d'information régional messagerie sécurisée 43

MÉTHODOLOGIE DE MISE EN ŒUVRE Etape 1 : cadrage Etape 1 Etape 2 Description des travaux Présentation du projet aux établissements de santé Identifier les sponsors du projet Audit du SI en lien avec la MSS ( DPI, messagerie ) Choix du modèle d implémentation Choix de l architecture technique Organisation du Plan projet liste des cations amener par l établissement, le GCS, l éditeur de l établissement Comité de pilotage Acteurs GCS Archipel IDO-in N Boulet- Responsable sécurité et infrastructure A Forbin Directeur GCS J Sénéchal Project Manager CP : établissement Planning Etape 3 Etape 4 Résultats et livrables Dossier d architecture technique) Plan de configuration Dossier d installation Dossier d exploitation Mise en place du processus de support par le GCS Pré requis et contraintes Présentation du projet aux établissements 13/10/2015 Système d'information régional messagerie sécurisée 44

MÉTHODOLOGIE DE MISE EN ŒUVRE Etape 2 : préparation Etape 1 Etape 2 Description des travaux Le choix du modèle est validé Le domaine est choisie Impact au niveau du SI Impact réseaux Contacts techniques Déterminer les types de boîtes aux lettres sécurisées à créer Mise en place des correspondances Mise en place des boîtes aux lettres organisationnelles Mise en place des boîtes applicatives Acteurs GCS Archipel IDO-in N Boulet- Responsable sécurité et infrastructure A Forbin Directeur GCS J Sénéchal Project Manager CP : établissement Planning Etape 3 Etape 4 Résultats et livrables Un service pilote opérationnel Pré requis et contraintes Etape de cadrage validé Equipe projet Etablissement nommé 13/10/2015 Système d'information régional messagerie sécurisée 45

MÉTHODOLOGIE DE MISE EN ŒUVRE Etape 3 : mise en œuvre technique Etape 1 Etape 2 Description des travaux Organisation des travaux avec les éditeurs DPI, autres Intégration avec le modèle choisie Intégration du client de messagerie Préparation des annuaires et synchronisation avec l annuaire régionale Mise en place des règles de sécurité Préparer le cahier de test Paramétrage par le GCS Acteurs GCS Archipel IDO-in N Boulet- Responsable sécurité et infrastructure A Forbin Directeur GCS J Sénéchal Project Manager CP établissements Planning Etape 3 Etape 4 Résultats et livrables Dossier technique de l établissement Pré requis et contraintes Cas par cas 13/10/2015 Système d'information régional messagerie sécurisée 46

MÉTHODOLOGIE DE MISE EN ŒUVRE Etape 4 : Usages spécifiques Etape 1 Etape 2 Description des travaux Communiquer auprès des utilisateurs informer les professionnels de santé Usages spécifiques Acteurs GCS Archipel IDO-in N Boulet- Responsable sécurité et infrastructure A Forbin Directeur GCS J Sénéchal Project Manager CP : établissement Planning Etape 3 Résultats et livrables Plan de communication Documentation utilisateurs Pré requis et contraintes Cas par cas Etape 4 13/10/2015 Système d'information régional messagerie sécurisée 47

Merci 13/10/2015 Système d'information régional messagerie sécurisée 48