Comment sécuriser les communications vers des tiers et des établissements partenaires? Olivier Mazade Responsable Réseaux Centre Hospitalier Universitaire de Clermont Ferrand Xavier Hameroux Directeur Commercial Systancia 10 octobre 2014 30/10/2014 Page 1
Les enjeux Comment prendre en compte les contraintes de sécurité exigées par les Directions Générales des établissements hospitaliers? Comment donner un accès flexible aux applications, aux postes de travail, aux données en toute sécurité? Comment s'assurer que chaque utilisateur accède uniquement aux applications pour lesquelles il dispose des droits légitimes? Comment sécuriser fortement l'accès au SI, tant depuis l'intérieur que depuis l'extérieur de votre établissement, et ce quel que soit le terminal utilisé? Comment maîtriser les coûts liés à la gestion du parc informatique et éviter incidents de sécurité? 30/10/2014 Page 2
Sommaire Sécurité des accès externes Contexte et problématiques de la sécurité de SI Les bénéfices et les technologies dans les grandes lignes Les bénéfices apportés par IPdiva Les modalités de déploiement La sécurisation des échanges au CHU xxxx Le groupe hospitalier Enjeux & besoins Solution mise en œuvre & bénéfices Copyright Systancia 2014
Mythes et réalités «Ca ne m est jamais arrivé, donc ça ne me concerne pas» «J utilise des protocoles et bases de données propriétaires, je suis protégé» «Trop de sécurité m empêchera de travailler comme je veux» «La sécurité du SI coûte cher» «Une attaque du SI aura toujours moins d impact qu un incident physique (vol de câbles, incendie, ), ou terroriste.» «L intégration des mécanismes de sécurité (chiffrement, filtrage, authentification) est incompatible avec les contraintes de temps de réponse exigées.» «Mon firewall protège mon réseau interne!» 30/10/2014 Page 4
Problématiques liées à la sécurité Identification Authentification Qui se connecte? Comment? Contrôle intégrité Contrôle de conformité Que peutil Autorisation Profils d accès faire? SSO Bouquet de ressource Qu atil Fait! Notification Audit/contrôle Capture/record 5
Contrôle d accès Virtualisation La réponse correcte Qui se connecte? Comment? Que peutil faire? Qu atil Fait! 6
Les bénéfices et les technologies dans les grandes lignes 30/10/2014 Page 7
Sécurisation des accès Les bénéfices : La mobilité sécurisée Permettre un accès sécurisé au Système d Information depuis l extérieur Personnel de l établissement: nomadisme, home Working Accès à un pool de ressources sur un LAN d établissement (messagerie, intranet, fichiers) Bureau déporté Accès tiers (médecins de ville, laboratoires, ) Publication proxy/reverse proxy Synchronisation sécurisée pour smartphones (ActiveSync) Accès Tiers : infogérance, téléservices, assistance Accès central à un parc de systèmes ou d applications réparties sur des sites distants indépendants Gestion de parcs, gestion d applications Traçabilité étendue des actions menées depuis l extérieur Enregistrement vidéo de sessions Choix des sessions impliquées 30/10/2014 Page 8
Sécurisation des accès externes Les technologies en grandes lignes ANYWHERE SECURE Accès a distance au système d information Options de sécurité renforcée VPN SSL Accès en mode applicatif IP SEC Accès en mode réseau Reverse Proxy Publication d applications web Activ Sync Sécuriser la synchro messagerie des mobiles Enregistrement vidéo des sessions Traçabilité des actions IPdiva Secure & IPdiva Care, une réponse unique à toutes les demandes Mobilité et téléservices par IP/Internet Accès distant sécurisé (VPN SSL), sélectif et contrôlé Portail de contrôle d identifiants physiques de Smartphones Contrôle de conformité (Carte CPS, token sur Smartphone,horaires d accès autorisés, sites autorisés, devices autorisés etc.) Contrôle d intégrité (poste habilité / antivirus / etc prérequis du BYOD) Traçabilité des accès Enregistrement vidéo des comportements des utilisateurs /sessions Evite les recherches sur les logs systèmes Evite la question: qui a pu générer ce changement sur le système? 30/10/2014 Page 9
Sécurisation des accès externes Les technologies en grandes lignes Accès a distance au système d information Options de sécurité renforcée VPN SSL Accès en mode applicatif IP SEC Accès en mode réseau Reverse Proxy Publication d applications web Activ Sync Sécuriser la synchro messagerie des mobiles Enregistrement vidéo des sessions Traçabilité des actions solutions répondant à une Stratégie globale de sécurité d accès aux ressources informatiques depuis l extérieur Adaptation du niveau de sécurité en fonction des usages et profils utilisateurs Solution de contrôle et surveillance Une solution unique qui permet de répondre à la sécurisation des multiples types d accès externes à contrôler Un très bon complément de solution de sécurité. 30/10/2014 Page 10
Les bénéfices apportés par IPdiva 30/10/2014 Page 11
IPdiva Secure Caractéristiques principales IPdiva Secure IPdiva Server: Point d entrée unique vers les sites hébergeant les systèmes à accéder ou les applications publiées Mutualisation de l authentification et du contrôle d accès Portail d accès générique pour les utilisateurs distants IPdiva Gateway Passerelle d interface entre les applications devant être rendues accessibles à distance et le portail d accès SSL Communication sécurisée entre IPdiva Server et IPdiva Gateway par tunnel SSL sortant (pas d intervention sur le firewall ou le routeur en place) un IPdiva Server Pilote N Gateway Compartimentation des réseaux supportant les ressources Compatible multisites, multivlan Fonctions supplémentaires (filtrage, collaboratif, supervision, gestion de parc ) 30/10/2014 Page 12
IPdiva Care Caractéristiques principales IPdivaCare IPdiva Care: Une visibilité totale par enregistrement Revisionnage intégral de la session applicative afin de comprendre, d apprendre ou de contrôler les actions opérées Permet de satisfaire des exigences de plus en plus fortes en termes de suivi et d audit des connexions aux serveurs sensibles de votre infrastructure Assure la responsabilité de toutes les parties prenantes pour le respect de ces exigences (prestataires, utilisateurs, administrateurs...) IPdiva Server: Fonctions principales Diffusion restreinte des paramètres de connexion En tant que point d accès unique, IPdiva Care limite la diffusion des identifiants (mots de passe) d accès à vos serveurs «sensibles» Les utilisateurs ne connaissent que leurs identifiants de connexion au portail de contrôle d accès. IPdiva Care substitue aux identifiants de connexion de chaque utilisateur les paramètres devant être réellement appliqués sur les serveurs cibles pour l accès aux ressources et ce, de manière transparente Chaque connexion étant identifiée de manière spécifique, la légitimité et l authenticité des logs générés s en trouve renforcée Désactivation d un intervenant très simple par gestion des droits sur le portail IPdiva Server. Parmi les fonctions principales Gestion centralisée de l authentification et de l identification des utilisateurs Personnalisation des droits d accès Notification interactive des accès Capture et enregistrement «sans agent» Optimisation de l enregistrement Visualisation complète des sessions Traçabilité étendue 30/10/2014 Page 13
Les solutions Sécuriser l accès au système d information depuis l extérieur n a jamais été aussi simple et sélectif Un produit complet permettant de répondre à toutes les problématiques techniques Un produit qui s insère facilement dans le système d information en place Un positionnement prix et société adapté aux Centres Hospitaliers
Les modalités de déploiement 30/10/2014 Page 15
Modalités de déploiement Mode 1: Mobilité Système dédié Messagerie Intranet CRM/ERP IPdiva Gateway Partenaires Fournisseurs Réseau local Internet IPdiva SSL VPN Portal Collaborateurs Nomades 16
Modalités de déploiement Mode 2: Mobilité Cloud/ASP ERP/CRM Messagerie Intranet Firewall Internet Passerelle IPdiva Gateway Réseau local Utilisateur distant 17
Modalités de déploiement Mode 3: Infogérance Téléservices Site Client 1 Internet Infogérant Site Client 2 18
La solution : Rappel des enjeux et avantages Offrir la communication depuis l extérieur pour tous Garantir la mobilité des utilisateurs en toute sécurité Garantir la sécurité sur tous les devices Offrir la possibilité du BYOD Garantir la surveillance des actions menées sur le SI par des tiers
La sécurisation des échanges au CHU de Clermont Ferrand Le Centre Hospitalier Universitaire de Clermont Ferrand Les enjeux & besoins de la DSI La solution mise en œuvre Les principaux bénéfices 30/10/2014 Page 20