L accès sécurisé aux données médicales
Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données médicales Mettre en place une solution de Gestion des Identités pour fluidifier le fonctionnement du SI hospitalier en garantissant la protection de son patrimoine informationnel Rationnaliser et simplifier les accès du SI Hospitalier pour les utilisateurs afin de limiter l augmentation des charges d exploitation du SIH.
Concilier capacité à faire dans des délais courts les projets et proximité régionale pour la gestion du changement et la maintenance de la solution. La maîtrise de la solution technique. L investissement réalisé sur les premiers hôpitaux doit profiter aux autres établissements. La capitalisation à partir d un socle commun de besoins au domaine hospitalier est nécessaire : processus, cas d utilisation, contraintes opérationnelles. La dimension stratégique de la solution déployée, entrainant le besoin de pérennité et de maintenabilité de la solution dans le temps par des acteurs ayant une stratégie claire en la matière.
Notre groupement s est construit autour de la logique suivante : Assurer la couverture de tous les aspects du projet en termes d expertise et d expériences Garantir une capacité industrielle à la hauteur des enjeux et une indépendance Proposer une présence locale par des intervenants basés en région Pilote et intégrateur globaux des projets Expert et conseil IAM Expert des solutions Microsoft, Dictao et Gemalto Proximité régionale Éditeur avec Microsoft du produit DHIAM Relation avec le GIP-CPS Adaptation éventuelle de la solution Éditeur de la solution CMS, Annuaire, PKI Expert du produit et de son intégration Fabriquant de cartes et de lecteurs
Personnalisée au contexte Santé Conformité avec le décret confidentialité Respect des référentiels (GMSIH, ASIP, RGI & RGS) Interfaçage avec les services et composants du secteur santé (CPS, RPPS, etc.) Offre modulaire Autonomie des différents composants Flexibilité de l architecture Capacité à mutualiser tout ou partie des composants et services Solution homogène Socle technologique basé sur Microsoft Portail d administration web unifié
Solution éprouvée Basée sur des retours d expérience opérationnelle : CHRU de Lille, CHU Nancy, CHU Amiens, CH Arras, CHU Grenoble Pérennité des produits Performance et capacité de montée en charge Solution évolutive Capable de suivre les évolutions de votre Système d Information Hospitalier Capable de suivre les évolutions technologiques ou réglementaires de l environnement du SIH Propose un socle technique pour offrir d autres services à valeur ajoutée comme la signature électronique
Fonctions d audit et traçabilité transverses sur l ensemble du système.
Plate-forme IAM Traces, audit & tableau de bord IGC CPS IGC Etablissements Microsoft CS Moteur de workflow Microsoft FIM 2010 Annuaires identités et d habilitations Microsoft Active Directory Connecteurs de synchronisation & réconciliation Microsoft FIM 2010 Référentiels sources Référentiels cibles Portail d administration unifié Identités, habilitations, cartes DHIAM Authentification & Single Sign-On SSO & Microsoft Windows Administrateur central Administrateur local Utilisateur CS : Certificate Services FIM : Forefront Identity Manager HIAM : Heatlcare Identity and Access Manager
Adaptation contexte Santé Support des cartes sans contact Support de la carte CPS et des certificats CPS (Autorité du GIP-CPS) Extension de la gestion des profils avec des cartes sans contacts et bi-mode Implémentation de modèle d habilitations Santé (GMSIH) Processus et interfaces adaptés aux besoins des hôpitaux Socle technique (Microsoft Forefront Identity Manager) Intégration à Active Directory / ADAM Connexion à des Autorités de Certification Microsoft ou AC Tierce Synchronisation avec d autres référentiels (SQL, LDAP, WS, etc.) Gestion complète du cycle de vie des identités, habilitations et cartes Flexibilité des processus (centralisés, décentralisés, self-service) Superposition des rôles du système de gestion de cartes avec les rôles de l entreprise (IT, administrateur local, etc.) Rapports/Audit
Adaptation contexte Santé Authentification primaire par carte CPS et carte d établissement Authentification secondaire sans contact Mode kiosque pour les postes partagés Socle technique (SSO) Single Sign-On et contrôle d accès Authentification en mode déconnecté ou en mode «dégradé» (Question / Réponses, login / mot de passe) Interfaçage avec Active Directory ou autre annuaire LDAP (stockage des login/mot de passe secondaires) Self-service Audit
Du générique répondant à des besoins spécifiques Offre industrialisée du groupement Socle générique et modulable - Produits (Briques techniques) - Modèles types (processus, annuaire, ) - Services d intégration - Gestion de projet - Formations - Expertises Application dans l établissement Intégration de la solution adaptée - Diagnostic - Gouvernance sécurité - Socle de sécurité des infrastructures - Processus et procédure - Solutions techniques - Intégration au SI - Gestion du changement - Assistance et support - Offre de service progressive
Interopérabilité et fonctions avancées Mise en place du dispositif Phase 1 Synchronisation automatique Phase 2 - Synchronisation amont des annuaires - Flux de provisioning des applications - Interface CPS en Web Services - Analyse et exploitation des traces des accès et des processus de gestion des identités Phase 3 - Pilotage complet et centralisé des habilitations - Interopérabilité entre SI établissements et avec les autres SI/portails santé/social - Web SSO - Analyse et exploitation de l ensemble des processus et transactions - Annuaire d établissement basé sur le schéma AES - Authentification par carte - Gestion des profils SSO sans synchronisation avec les applications - Traçabilité des accès au niveau du SSO - Gestion des identités et des habilitations (Workflow + provisioning manuel) - Gestion des différents profils de cartes : CPS et cartes d établissements
Mutualisation d hébergement de la plate-forme Annuaires d identités et d habilitations Portail d administration Moteur de workflow Audit, traces et tableau de bords Autorité de certification (dans le cas de certificats d établissements) Connecteurs de synchronisation Mutualisation des services Administration des identités, des habilitations et des cartes Consultation des pages jaunes / pages blanches Synchronisation et réconciliation des référentiels Traces des transactions métiers Mutualisation de l exploitation Supervision Gestion des incidents Maintien en condition opérationnelle
Nouvel utilisateur Gestionnaire des entrées RPPS Demande de carte Déclaration d un médecin externe Import RPPS par la clé de rapprochement Plateforme IAM Enregistrement AES identité et qualité - Jean OLIVE - Identifiant AES (clé de rapprochement interne) - Médecin - N RPPS - Groupe interne Gestion des habilitations Gestionnaires des habilitations Création des habilitations Plateforme IAM AES Rôles/profils - Service cardiologie - Cardiologue Synchronisation Traduction du rôle = Jean Olive, médecin, personnel interne, appartenant au service de cardiologie et cardiologue accède à DPE avec un profil (ens. de droits) DPE
Délivrance de carte Médecin - Identifiant AES Choix de la carte à créer Plateforme IAM -Jean OLIVE - Médecin - N RPPS - Groupe interne Gestionnaire des cartes En fonction de la qualité, création de la carte CPS CPS Renouvellent d un certificat CPS Renouvellement certificat CPS Médecin Demande de certificats CPS Validation de commande certificats CPS Certification de la clé
Enregistrement de la carte CPS d un médecin Médecin CPS AES Certificats Lecture du certificat Vérification CPS Plateforme IAM AES identité et qualité Gestionnaire des cartes Enregistre la carte Cartes
Accès à une application AES - habilitations - Vérification identité - Autorisation Plateforme - Recherche d habilitations IAM Cartes Médecin SSO Annuaire de sécurité DPE
Dictao Healthcare Identity and Access Management (DHIAM) Dictao - David Robert drobert@dictao.com
Autorité de certification ASIP / CPS Etablissement Professionnel de Santé Fonctionnalités DHIAM Autorité de certification Enregistrement des demandes de cartes Validation des demandes Activation des cartes Déblocage Remplacement Désactivation Mise hors service Emission de carte de secours Renouvellement de certificat d établissement Téléchargement de certificat CPS DHIAM Système de gestion de cartes d établissement Annuaire d établissement (identités, habilitations, ) Poste de personnalisation Carte établissement personnalisée
Démonstration du mode Kiosque
Le mode kiosque correspond à la mise à disposition d un poste de travail en libre-service. Ce mode de travail est particulièrement utile au cas d usage de personnel soignant amené à se déplacer dans différents lieux en conservant un accès permanent au Système d Information Hospitalier. La démonstration qui suit va présenter : 1.La première connexion de l utilisateur à un poste de travail 2.L utilisation du poste de travail avec la carte en mode sans contact 3.Le verrouillage du poste de travail 4.L utilisation du poste de travail par un second intervenant 5.Le retour du premier utilisateur et la récupération de son contexte de travail
Nom de l utilisateur JTHERIP Timer de présence de la carte 20 Timer d activité de la session de l utilisateur 60
GEMALTO SOUFFLOT Jérôme Bus Dev Santé Française Gemalto
Le badge d établissement multiservices IAS ECC Sécurité des accès Le déploiement d un badge employé pose les fondations pour une gestion complète de l accès et de l identité Authentification Accés SIH via Certificat GICPS Accès distant OTP distributeurs IAS ECC Self parking Un badge employé multiservices Accès sécurisé aux postes Smart Logon 25
Gamme complète de lecteurs Contact- Sans Contact (CPS V3, CE) PS et patient (CPS, CE, vitale) Contact seul (CPS)
Prototype/appel à projets
SBH (porte Badge) SBH consiste : Un portebadge «format cartes» communicant en sans contact (Bluetooth) pouvant s interfacer avec tous types de PC nécessitant une carte à puce Apporte une réelle ergonomie d usage sans compromis de sécurité Compatible avec tous les types de cartes y compris hybrides (sans contact pour l accès physique) Distance de communication paramétrable (ex par défaut quelques mètres) Dispositifs exclusifs Possibilité d adosser des nouveaux services : mémoire flash, geo-localisation Extensions à venir pour des communications (P2P)
Porte Badge Bluetooth
Cas d usage générique : Log on Windows 7 verrouillage station de travail Authentification Bluetooth Verrouillage de la station quand l utilisateur sort de la zone de détection
Gemalto dans le secteur Santé Fournisseur Carte Vitale Fournisseur Carte CPS Personnalisation des cartes CPS Expertise IAS Conception et Développement du Middleware IAS, (adopté par le Secteur Public ANTS ex DGME) Fournisseur des Lecteurs Santé en France (+50 000 lecteurs vendus) Fournisseur de nombreux systèmes de santé à l Etranger (UK, Allemagne, USA, Slovénie...) 32