Upload
dokien
View
218
Download
0
Embed Size (px)
Citation preview
L’accès sécurisé aux données médicales
Le décret confidentialité N° 2007-960 du 15 mai 2007
La responsabilité personnelle des chefs d’établissement et des médecins
vis-à-vis de la confidentialité des données médicales
Mettre en place une solution de Gestion des Identités pour fluidifier le
fonctionnement du SI hospitalier en garantissant la protection de son
patrimoine informationnel
Rationnaliser et simplifier les accès du SI Hospitalier pour les utilisateurs
afin de limiter l’augmentation des charges d’exploitation du SIH.
Concilier capacité à faire dans des délais courts les projets et proximité
régionale pour la gestion du changement et la maintenance de la solution.
La maîtrise de la solution technique. L’investissement réalisé sur les
premiers hôpitaux doit profiter aux autres établissements.
La capitalisation à partir d’un socle commun de besoins au domaine
hospitalier est nécessaire : processus, cas d’utilisation, contraintes
opérationnelles.
La dimension stratégique de la solution déployée, entrainant le besoin de
pérennité et de maintenabilité de la solution dans le temps par des acteurs
ayant une stratégie claire en la matière.
Notre groupement s’est construit autour de la logique suivante :
Assurer la couverture de tous les aspects du projet en termes d’expertise et d’expériences
Garantir une capacité industrielle à la hauteur des enjeux et une indépendance
Proposer une présence locale par des intervenants basés en région
Pilote et intégrateur globaux des projets
Expert et conseil IAM
Expert des solutions Microsoft, Dictao et
Gemalto
Proximité régionale
Éditeur avec Microsoft du produit DHIAM
Relation avec le GIP-CPS
Adaptation éventuelle de la solution
Éditeur de la solution CMS, Annuaire, PKI
Expert du produit et de son intégration
Fabriquant de cartes et de lecteurs
Personnalisée au contexte Santé Conformité avec le décret confidentialité
Respect des référentiels (GMSIH, ASIP, RGI & RGS)
Interfaçage avec les services et composants du secteur santé (CPS, RPPS, etc.)
Offre modulaire Autonomie des différents composants
Flexibilité de l’architecture
Capacité à mutualiser tout ou partie des composants et services
Solution homogène Socle technologique basé sur Microsoft
Portail d’administration web unifié
Solution évolutive Capable de suivre les évolutions de votre Système d’Information Hospitalier
Capable de suivre les évolutions technologiques ou réglementaires de
l’environnement du SIH
Propose un socle technique pour offrir d’autres services à valeur ajoutée
comme la signature électronique
Solution éprouvée Basée sur des retours d’expérience opérationnelle : CHRU de Lille, CHU Nancy,
CHU Amiens, CH Arras, CHU Grenoble
Pérennité des produits
Performance et capacité de montée en charge
Fonctions d’audit et traçabilité transverses sur l’ensemble du système.
Plate-forme IAM
Référentiels
sources
Référentiels
cibles
Traces, audit & tableau de bord
CS : Certificate Services
FIM : Forefront Identity Manager
HIAM : Heatlcare Identity and
Access Manager
Connecteurs de
synchronisation
& réconciliation
Microsoft FIM 2010
Annuaires identités
et d’habilitations
Microsoft Active Directory
IGC
Etablissements Microsoft CS
Moteur de
workflow
Microsoft FIM 2010
Authentification
& Single Sign-On
SSO & Microsoft Windows
Portail d’administration unifié Identités, habilitations, cartes
DHIAM
Administrateur local
Utilisateur Administrateur central
IGC CPS
Socle technique (Microsoft Forefront Identity Manager) •Intégration à Active Directory / ADAM
•Connexion à des Autorités de Certification Microsoft ou AC Tierce
•Synchronisation avec d’autres référentiels (SQL, LDAP, WS, etc.)
•Gestion complète du cycle de vie des identités, habilitations et cartes
•Flexibilité des processus (centralisés, décentralisés, self-service)
•Superposition des rôles du système de gestion de cartes avec les rôles de l’entreprise (IT,
administrateur local, etc.)
•Rapports/Audit
Adaptation contexte Santé •Support des cartes sans contact
•Support de la carte CPS et des certificats CPS (Autorité du GIP-CPS)
•Extension de la gestion des profils avec des cartes sans contacts et bi-mode
•Implémentation de modèle d’habilitations Santé (GMSIH)
•Processus et interfaces adaptés aux besoins des hôpitaux
Socle technique (SSO)
• Single Sign-On et contrôle d’accès
• Authentification en mode déconnecté ou en mode « dégradé » (Question /
Réponses, login / mot de passe)
• Interfaçage avec Active Directory ou autre annuaire LDAP (stockage des
login/mot de passe secondaires)
• Self-service
• Audit
Adaptation contexte Santé
• Authentification primaire par carte CPS et carte d’établissement
• Authentification secondaire sans contact
• Mode kiosque pour les postes partagés
Du générique … répondant à des besoins spécifiques
Socle générique et modulable
Offre de service progressive
Offre industrialisée du groupement
Application dans l’établissement
Intégration de la solution adaptée
- Diagnostic
- Gouvernance sécurité
- Socle de sécurité des infrastructures
- Processus et procédure
- Solutions techniques
- Intégration au SI
- Gestion du changement
- Assistance et support
- …
- Gestion de projet
- Formations
- Expertises
- Produits (Briques techniques)
- Modèles types (processus, annuaire, …)
- Services d’intégration
Phase 1
Phase 2
Phase 3
Mise en place
du dispositif
Synchronisation
automatique
Interopérabilité
et fonctions avancées
- Pilotage complet et centralisé des
habilitations
- Interopérabilité entre SI
établissements et avec les autres
SI/portails santé/social
- Web SSO
- Analyse et exploitation de l’ensemble
des processus et transactions
- Synchronisation amont des
annuaires
- Flux de provisioning des applications
- Interface CPS en Web Services
- Analyse et exploitation des traces
des accès et des processus de gestion
des identités
- Annuaire d’établissement basé sur le schéma AES
- Authentification par carte
- Gestion des profils SSO sans synchronisation avec les applications
- Traçabilité des accès au niveau du SSO
- Gestion des identités et des habilitations (Workflow + provisioning
manuel)
- Gestion des différents profils de cartes : CPS et cartes d’établissements
Mutualisation
d’hébergement de la
plate-forme
Annuaires d’identités et d’habilitations
Portail d’administration
Moteur de workflow
Audit, traces et tableau de bords
Autorité de certification (dans le cas de certificats
d’établissements)
Connecteurs de synchronisation
Mutualisation des
services
Administration des identités, des habilitations et
des cartes
Consultation des pages jaunes / pages blanches
Synchronisation et réconciliation des référentiels
Traces des transactions métiers
Supervision
Gestion des incidents
Maintien en condition opérationnelle
Mutualisation de
l’exploitation
Plateforme
IAM Création
des habilitations
Import RPPS par la clé de rapprochement RPPS
Nouvel utilisateur
Gestion des
habilitations
Gestionnaires
des habilitations
Déclaration d’un
médecin externe
Demande de carte
Plateforme
IAM
- Service cardiologie
- Cardiologue
AES – Rôles/profils
DPE Traduction du rôle =
Jean Olive, médecin, personnel interne,
appartenant au service de cardiologie et cardiologue
accède à DPE avec un profil (ens. de droits)
Synchronisation
Gestionnaire des
entrées
- Jean OLIVE
- Identifiant AES (clé de rapprochement interne)
- Médecin
- N° RPPS
- Groupe interne
AES – identité et qualité
Enregistrement
Certification de la clé
CPS
Plateforme
IAM
- Identifiant AES
Délivrance
de carte Médecin
Gestionnaire des
cartes
Choix de la carte à créer
En fonction de la qualité,
création de la carte
Renouvellent d’un
certificat CPS
Médecin
Demande de
certificats CPS
Validation de commande
certificats CPS
CPS
Renouvellement
certificat CPS
-Jean OLIVE
- Médecin
- N° RPPS
- Groupe interne
Cartes
AES – identité et qualité
AES – Certificats
Gestionnaire des
cartes
Enregistrement de la carte
CPS d’un médecin Médecin
Lecture du certificat
CPS
Plateforme
IAM
Enregistre la carte
Vérification CPS
Plateforme
IAM
Accès à une application
Médecin
SSO
- Vérification identité
- Autorisation
- Recherche d’habilitations Cartes
AES - habilitations
Annuaire de sécurité
DPE
Dictao Healthcare Identity and Access Management (DHIAM)
Dictao - David Robert [email protected]
Autorité de
certification
ASIP / CPS
Autorité de
certification
Poste de personnalisation
Système de gestion de cartes
d’établissement
DHIAM Annuaire
d’établissement
(identités,
habilitations,…)
Etablissement Professionnel de Santé
Carte établissement
personnalisée
Fonctionnalités DHIAM
• Enregistrement des demandes de cartes • Validation des demandes • Activation des cartes • Déblocage • Remplacement • Désactivation • Mise hors service • Emission de carte de secours • Renouvellement de certificat d’établissement • Téléchargement de certificat CPS
Démonstration du mode Kiosque
Le mode kiosque correspond à la mise à disposition d’un poste
de travail en libre-service.
Ce mode de travail est particulièrement utile au cas d’usage de
personnel soignant amené à se déplacer dans différents lieux en
conservant un accès permanent au Système d’Information
Hospitalier.
La démonstration qui suit va présenter :
1.La première connexion de l’utilisateur à un poste de travail
2.L’utilisation du poste de travail avec la carte en mode sans
contact
3.Le verrouillage du poste de travail
4.L’utilisation du poste de travail par un second intervenant
5.Le retour du premier utilisateur et la récupération de son
contexte de travail
Nom de l’utilisateur
Timer de présence de la carte
Timer d’activité de la session
de l’utilisateur
JTHERIP
20
60
GEMALTO
SOUFFLOT Jérôme Bus Dev Santé Française Gemalto
25 25
Un badge employé
multiservices
Sécurité des accès
Self
Accès sécurisé aux postes Smart Logon
Authentification •Accés SIH via Certificat GICPS
•Accès distant OTP
Le déploiement d’un badge
employé pose les fondations
pour une gestion complète de
l’accès et de l’identité
Le badge d’établissement multiservices – IAS ECC
distributeurs
parking
IAS ECC
Gamme complète de lecteurs
PS et patient
(CPS, CE, vitale)
Contact seul
(CPS)
Contact- Sans Contact
(CPS V3 , CE)
Prototype/appel à projets
SBH (porte Badge)
SBH consiste :
Un portebadge « format cartes » communicant en sans contact (Bluetooth) pouvant s’interfacer avec tous types de PC nécessitant une carte à puce
Apporte une réelle ergonomie d’usage sans compromis de sécurité
Compatible avec tous les types de cartes y compris hybrides (sans contact pour l’accès physique)
Distance de communication paramétrable (ex par défaut quelques mètres)
Dispositifs exclusifs
Possibilité d’adosser des nouveaux services : mémoire flash, geo-localisation
Extensions à venir pour des communications (P2P)
Porte Badge Bluetooth
Cas d’usage générique : Log on Windows 7 – verrouillage station de travail
Authentification Bluetooth
Verrouillage de la station quand l’utilisateur sort de la zone de détection
32 32
Gemalto dans le secteur Santé
Fournisseur Carte Vitale
Fournisseur Carte CPS
Personnalisation des cartes CPS
Expertise IAS
Conception et Développement du Middleware IAS, (adopté par le Secteur Public – ANTS ex DGME)
Fournisseur des Lecteurs Santé en France
(+50 000 lecteurs vendus)
Fournisseur de nombreux systèmes de santé à l’Etranger (UK, Allemagne, USA, Slovénie...)