Comment le CHU Montpellier a bétonné son SI face aux accès à privilèges
Par Bertrand Lemaire | Le | Cas d’usage
Le CHU Montpellier et son GHT ont déployé Prove IT de Rubycat pour tracer les accès à privilèges et ainsi protéger son SI.
Le GHT (Groupement Hospitalier de Territoire) Est Herault et Sud Aveyron réunit quatre établissements dans le sud de l’Aveyron (dont un EHPAD) et six dans l’Herault, notamment l’établissement-centre, le CHU de Montpellier. Ce centre hospitalier universitaire, issu de la plus ancienne structure d’enseignement et de pratique de la médecine en France, réunit environ 14 000 agents pour 12 000 équivalents-temp-plein. Le personnel du CHU est soumis à un important turn-over de personnels qui doivent accéder, pour leur coeur de métier, à des données sensibles (notamment le dossier patient). A cela s’ajoute une DSI de 65 agents internes pour le seul CHU, 85 pour l’ensemble du GHT, soutenus par de très nombreux prestataires ayant des droits d’accès parfois étendus, par exemple pour l’administration du réseau ou l’infogérance de certaines applications. Dans ce contexte, sécuriser les accès et contrôler les actions des personnes ayant des accès à privilèges sont absolument indispensables.
Vincent Templier, qui est à la fois RSSI du CHU Montpellier et RSSI & DPO du GHT Est Herault et Sud Aveyron, reconnaît ainsi : « nous avons de nombreux prestataires réguliers : la gestion du help-desk, l’assistance de premier niveau sur les postes de travail, les interventions sur les installations en courant faible (réseau…), l’infogérance du dossier patient, l’administration réseau… » A ceux-là s’ajoutent évidemment des prestations ponctuelles lorsque le CHU ou le GHT ont besoin d’expertises pointues.
Contrôler les accès avec rigueur sans gêner les utilisateurs
Concernant les accès des personnels médical, para-médical et administratif, le CHU utilise un EIM, en l’occurrence celui du groupe Orange, Enovacom. Celui-ci met en œuvre une matrice d’habilitation avec un lien direct avec le SIRH. « Toute fin de contrat, par exemple, entraîne automatiquement une résiliation des habilitations » se réjouit Vincent Templier. A cela s’ajoute un contrôle semestriel manuel pour vérifier qu’aucune erreur ne s’est glissée. Le RSSI ajoute : « comme il y a beaucoup de turn-over, il était nécessaire pour nous d’industrialiser ce processus. »
Il fallait, en regard des contraintes fortes, aussi faciliter la vie des utilisateurs. « Les soignants doivent utiliser des dizaines d’applications et s’y connecter cinquante fois par jour » relève Vincent Templier. Depuis une quinzaine d’années, le CHU Montpellier utilise la SSO d’Ilex. Depuis peu, au fur et à mesure des déploiements dans les services en faisant la demande, cette SSO est connectée à un lecteur de cartes professionnelles. Il suffit donc de placer sa carte sur le lecteur pour accéder au SI. Dans le cas de connexions à distance, la réglementation oblige à une connexion avec identification forte.
Un SI maîtrisé et essentiellement on premise
« Notre système d’information est très majoritairement on premise » explique Vincent Templier. Il ajoute : « nous n’optons pour une solution cloud que lorsque nous n’avons pas le choix, par exemple les solutions régionales ou nationales hébergées en mode mutualisé comme la télémédecine ». Avec ce choix fondamental, le CHU et son GHT maîtrisent parfaitement leur SI mais il leur faut, par contre, en garantir la cybersécurité. Au-delà de la gestion des accès courants, il faut être particulièrement vigilant au sujet des accès dits « à privilèges », c’est à dire ceux des informaticiens, internes ou externes. Vincent Templier insiste sur la nécessaire rigueur voire l’inflexibilité nécessaire pour cette gestion : « il faut imposer des règles sinon on ne peut pas y arriver ».
Ainsi, tous les fournisseurs disposent de comptes nominatifs avec un téléphone renseigné pour une double-authentification systématique. « C’est à chaque fournisseur de faire en sorte que leurs salariés disposent d’un téléphone professionnel pouvant être utilisé pour cette double-authentification sinon il ne travaille pas avec le CHU » martèle Vincent Templier. Lorsqu’un prestataire se connecte en utilisant le VPN, il ne peut que passer par le bastion déployé en 2019. C’est ce bastion qui va lui donner les accès légitimes pour lui et surtout tracer toutes ses actions. Vincent Templier observe : « les sessions sont toutes enregistrées et, en cas de soucis, nous pouvons savoir ce qui a été fait en télémaintenance. A ce jour, nous n’avons eu à déplorer qu’un seul cas où nous avons eu à prouver qu’un prestataire avait fait quelque chose qu’il n’aurait dû. »
Un bastion simple à gérer et peu onéreux
C’est la solution Prove IT de l’éditeur français Rubycat qui a été choisie en 2019 et installée en local. Vincent Templier s’en explique : « auparavant, j’étais DSI d’un autre hôpital où j’avais déployé cette solution. En arrivant à Montpellier, j’ai comparé les solutions du marché et conclu que Rubycat était toujours le meilleur choix ». Le premier critère a été celui du licencing et du prix induit. A l’époque (cela a changé), l’autre solution française, Wallix, utilisait un licencing à l’actif protégé. « Au CHU Montpellier, il s’agissait de plus de 18 000 assets ! » relève Vincent Templier. A l’inverse, Rubycat proposait un licencing au nombre de connexions simultanées. Ce mode de licences était nettement plus adapté, d’autant que si la solution a été déployée initialement sur le seul CHU, il s’agissait de le diffuser sur tout le GHT.
Le deuxième critère a été celui de la simplicité de déploiement et d’usage. « Je n’ai pas besoin d’une Ferrari pour rouler sur une départementale et Rubycat est beaucoup plus simple à mettre en oeuvre » justifie le RSSI. Le CHU n’a ainsi pas besoin de mobiliser des ressources à temps plein sur l’administration de l’outil. La solution continuant de donner satisfaction, le déploiement sur l’ensemble du GHT est actuellement en cours.