Single Sign-on (Gestion des accès sécurisés)

1 Single Sign-on (Gestion des accès sécurisés) Témoignage du C.H.R de la Citadelle

2 AGENDA A propos du CHR Genèse du projet Projet Bilan de la situation et Conclusions

3 A PROPOS DU C.H.R -Intercommunale mixte constituée en 1989-5 sites -3656 membres du personnel -435 médecins -600 stagiaires infirmiers par an -50 Salles de soins

4 GENESE DU PROJET Démarrage en 2008 d un plan de sécurité Plan d action Sécurité du C.H.R (suite) 2) Création de la politique de sécurité cadre Révision Audit Organisationnel Politique de sécurité Audit intrusion Analyse de risques Plan d actions et Projets sécurité Suivi et contrôle Reporting sécurité Sensibilisation Sécurité dans les projets Plan de secours

5 GENESE DU PROJET (suite) Recommandation des audits S aligner sur les normes : ISO 27001 et ISO 27799 Mettre une priorité sur la gestion des utilisateurs Se conformer à la législation belge S inspirer du Groupe de travail institué par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre Répondre aux nouvelles demandes des utilisateurs Accès extérieur aux dossiers patients pour tous les médecins du CHR Accès extérieur aux applications administratives pour les cadres

6 PROJET - Périmètre Accès unique en interne comme en externe. Centralisation de la gestion des accès Authentification forte des accès externes Haute disponibilité de la solution Non repudiation de la preuve Sous-traitance complète de la solution

7 PROJET - Risque Refus de la solution par le métier Réalisation d un POC et cotation par le métier Risques Manque de décision Intégration du métier et des directions tout au long du projet Lenteur du système POC sur nos machines

8 PROJET - Mise en place du projet - Création d un schéma conceptuel - Lieu de mise en place - Remplacement des A.Directory - Liste d applications ciblées et leur profils - Définition du type de poste - Gestion des accès (buts, moyens, gestion des flux) - Tests du SSO dans deux salles de soins - Elaboration des flux principaux - Automatisation des comptes - Mise en œuvre WAM - Plan de communication - Extension du SSO aux autres salles

9 PROJET - Création d un schéma conceptuel

10 PROJET - Lieu de mise en place

11 PROJET - Remplacement des A.Directory But : - Mise à jour des systèmes en améliorant la HD - Atteindre une vitesse de connexion inférieur à 2 sec. - Base de données utilisateurs pour le S.I

12 PROJET - Liste d applications et leur profils But : - Qui accède à quelles applications - Avec quels droits - Quels sont les accès a automatiser ou a encoder.

13 PROJET - Définition du type de poste But : - Déterminer l installation du poste de travail - Déterminer le groupe AD Mode kiosque: - Plusieurs utilisateurs par poste - Une session générique avec switching des utilisateurs - Introduction du login/pw toutes les 4 heures - Lecteur de badge - Désactivation toutes les 2 minutes (parfois avec sonar) Mode standard - Un utilisateur principal - Une session par utilisateur - Accès uniquement login/mot de passe - Désactivation toutes les 10 minutes

14 PROJET Gestion des accès Buts Gestion des accès physiques et logiques à partir des badges Création des comptes Windows et applicatifs en 24hrs maximum. Gestion des flux (Création modification suppression) : Moyens Début du projet : mettre l AD à jour en ajoutant 2100 utilisateurs non répertoriés par les systèmes d information aux 1500 existants. Créer les comptes AD automatiquement ainsi que les accès logiques pour les applications compatibles LDAP Créer les accès automatique pour les applications non compatibles LDAP, mais permettant l automatisation des comptes (flux maitrisé) Gérer manuellement les accès dans les autres applications, tout en centralisant cette gestion au service-desk

15 Gestion des accès : flux 1/4 Utilisation du portail intranet Encodage des demandes

16 Gestion des accès : flux 2/4 Exemple : WORFLOW d arrivée médecin Création du badge Logiciel Badges ID-SYNCH 1x/24h

17 Gestion des accès : flux 3/4 ID-SYNCH Module permettant l application de flux successifs Ajout / mise à jour des comptes dans la DB Badges Création / modification / désactivation des comptes dans l AD Organisation automatique de l arborescence AD selon les profils métiers Activation automatique des comptes dans les applications LDAP compatibles Insertion des données dans DB pour création automatique des comptes dans les applications non LDAP. Création manuelle de comptes applicatifs (Non LDAP Non automatisables)

18 Gestion des accès : flux 4/4 Création automatique des comptes dans les applications, l accès aux applications étant accordé selon le profil métier Impression des chartes d utilisation (token, etc.) Remise confidentielle des «Login & Mot de passe» pour chaque application à l utilisateur. Création automatique «Login Pwd» selon les spécificités de chaque application Le service-desk, en fonction du profil métier, crée manuellement les accès aux applications non automatisées, soit via LDAP, soit via création automatique.

19 PROJET - Mise en œuvre WAM

20 BILAN et CONCLUSIONS Réalisé a ce jour Toutes les salles de soins en SSO, les Urgences et 26 polycliniques La pharmacie, Rxm, 350 utilisateurs sur le WAM Synchronisation des comptes 22 applications automatisées (LDAP et Non LDAP) A réaliser Finaliser les services fonctionnels Automatisation des accès pour les services fonctionnels Mise en production des «Blocages et Filtrages Internet» Conclusions Projet structurant pour l entreprise La durée, dépend essentiellement de la maturité de la sécurité de l entreprise ainsi que de l architecture applicative.

21 QUESTIONS et REPONSES