L’accès sécurisé aux données médicales

Le décret confidentialité N° 2007-960 du 15 mai 2007

La responsabilité personnelle des chefs d’établissement et des médecins

vis-à-vis de la confidentialité des données médicales

Mettre en place une solution de Gestion des Identités pour fluidifier le

fonctionnement du SI hospitalier en garantissant la protection de son

patrimoine informationnel

Rationnaliser et simplifier les accès du SI Hospitalier pour les utilisateurs

afin de limiter l’augmentation des charges d’exploitation du SIH.

Concilier capacité à faire dans des délais courts les projets et proximité

régionale pour la gestion du changement et la maintenance de la solution.

La maîtrise de la solution technique. L’investissement réalisé sur les

premiers hôpitaux doit profiter aux autres établissements.

La capitalisation à partir d’un socle commun de besoins au domaine

hospitalier est nécessaire : processus, cas d’utilisation, contraintes

opérationnelles.

La dimension stratégique de la solution déployée, entrainant le besoin de

pérennité et de maintenabilité de la solution dans le temps par des acteurs

ayant une stratégie claire en la matière.

Notre groupement s’est construit autour de la logique suivante :

Assurer la couverture de tous les aspects du projet en termes d’expertise et d’expériences

Garantir une capacité industrielle à la hauteur des enjeux et une indépendance

Proposer une présence locale par des intervenants basés en région

Pilote et intégrateur globaux des projets

Expert et conseil IAM

Expert des solutions Microsoft, Dictao et

Gemalto

Proximité régionale

Éditeur avec Microsoft du produit DHIAM

Relation avec le GIP-CPS

Adaptation éventuelle de la solution

Éditeur de la solution CMS, Annuaire, PKI

Expert du produit et de son intégration

Fabriquant de cartes et de lecteurs

Personnalisée au contexte Santé Conformité avec le décret confidentialité

Respect des référentiels (GMSIH, ASIP, RGI & RGS)

Interfaçage avec les services et composants du secteur santé (CPS, RPPS, etc.)

Offre modulaire Autonomie des différents composants

Flexibilité de l’architecture

Capacité à mutualiser tout ou partie des composants et services

Solution homogène Socle technologique basé sur Microsoft

Portail d’administration web unifié

Solution évolutive Capable de suivre les évolutions de votre Système d’Information Hospitalier

Capable de suivre les évolutions technologiques ou réglementaires de

l’environnement du SIH

Propose un socle technique pour offrir d’autres services à valeur ajoutée

comme la signature électronique

Solution éprouvée Basée sur des retours d’expérience opérationnelle : CHRU de Lille, CHU Nancy,

CHU Amiens, CH Arras, CHU Grenoble

Pérennité des produits

Performance et capacité de montée en charge

Fonctions d’audit et traçabilité transverses sur l’ensemble du système.

Plate-forme IAM

Référentiels

sources

Référentiels

cibles

Traces, audit & tableau de bord

CS : Certificate Services

FIM : Forefront Identity Manager

HIAM : Heatlcare Identity and

Access Manager

Connecteurs de

synchronisation

& réconciliation

Microsoft FIM 2010

Annuaires identités

et d’habilitations

Microsoft Active Directory

IGC

Etablissements Microsoft CS

Moteur de

workflow

Microsoft FIM 2010

Authentification

& Single Sign-On

SSO & Microsoft Windows

Portail d’administration unifié Identités, habilitations, cartes

DHIAM

Administrateur local

Utilisateur Administrateur central

IGC CPS

Socle technique (Microsoft Forefront Identity Manager) •Intégration à Active Directory / ADAM

•Connexion à des Autorités de Certification Microsoft ou AC Tierce

•Synchronisation avec d’autres référentiels (SQL, LDAP, WS, etc.)

•Gestion complète du cycle de vie des identités, habilitations et cartes

•Flexibilité des processus (centralisés, décentralisés, self-service)

•Superposition des rôles du système de gestion de cartes avec les rôles de l’entreprise (IT,

administrateur local, etc.)

•Rapports/Audit

Adaptation contexte Santé •Support des cartes sans contact

•Support de la carte CPS et des certificats CPS (Autorité du GIP-CPS)

•Extension de la gestion des profils avec des cartes sans contacts et bi-mode

•Implémentation de modèle d’habilitations Santé (GMSIH)

•Processus et interfaces adaptés aux besoins des hôpitaux

Socle technique (SSO)

• Single Sign-On et contrôle d’accès

• Authentification en mode déconnecté ou en mode « dégradé » (Question /

Réponses, login / mot de passe)

• Interfaçage avec Active Directory ou autre annuaire LDAP (stockage des

login/mot de passe secondaires)

• Self-service

• Audit

Adaptation contexte Santé

• Authentification primaire par carte CPS et carte d’établissement

• Authentification secondaire sans contact

• Mode kiosque pour les postes partagés

Du générique … répondant à des besoins spécifiques

Socle générique et modulable

Offre de service progressive

Offre industrialisée du groupement

Application dans l’établissement

Intégration de la solution adaptée

- Diagnostic

- Gouvernance sécurité

- Socle de sécurité des infrastructures

- Processus et procédure

- Solutions techniques

- Intégration au SI

- Gestion du changement

- Assistance et support

- …

- Gestion de projet

- Formations

- Expertises

- Produits (Briques techniques)

- Modèles types (processus, annuaire, …)

- Services d’intégration

Phase 1

Phase 2

Phase 3

Mise en place

du dispositif

Synchronisation

automatique

Interopérabilité

et fonctions avancées

- Pilotage complet et centralisé des

habilitations

- Interopérabilité entre SI

établissements et avec les autres

SI/portails santé/social

- Web SSO

- Analyse et exploitation de l’ensemble

des processus et transactions

- Synchronisation amont des

annuaires

- Flux de provisioning des applications

- Interface CPS en Web Services

- Analyse et exploitation des traces

des accès et des processus de gestion

des identités

- Annuaire d’établissement basé sur le schéma AES

- Authentification par carte

- Gestion des profils SSO sans synchronisation avec les applications

- Traçabilité des accès au niveau du SSO

- Gestion des identités et des habilitations (Workflow + provisioning

manuel)

- Gestion des différents profils de cartes : CPS et cartes d’établissements

Mutualisation

d’hébergement de la

plate-forme

Annuaires d’identités et d’habilitations

Portail d’administration

Moteur de workflow

Audit, traces et tableau de bords

Autorité de certification (dans le cas de certificats

d’établissements)

Connecteurs de synchronisation

Mutualisation des

services

Administration des identités, des habilitations et

des cartes

Consultation des pages jaunes / pages blanches

Synchronisation et réconciliation des référentiels

Traces des transactions métiers

Supervision

Gestion des incidents

Maintien en condition opérationnelle

Mutualisation de

l’exploitation

Plateforme

IAM Création

des habilitations

Import RPPS par la clé de rapprochement RPPS

Nouvel utilisateur

Gestion des

habilitations

Gestionnaires

des habilitations

Déclaration d’un

médecin externe

Demande de carte

Plateforme

IAM

- Service cardiologie

- Cardiologue

AES – Rôles/profils

DPE Traduction du rôle =

Jean Olive, médecin, personnel interne,

appartenant au service de cardiologie et cardiologue

accède à DPE avec un profil (ens. de droits)

Synchronisation

Gestionnaire des

entrées

- Jean OLIVE

- Identifiant AES (clé de rapprochement interne)

- Médecin

- N° RPPS

- Groupe interne

AES – identité et qualité

Enregistrement

Certification de la clé

CPS

Plateforme

IAM

- Identifiant AES

Délivrance

de carte Médecin

Gestionnaire des

cartes

Choix de la carte à créer

En fonction de la qualité,

création de la carte

Renouvellent d’un

certificat CPS

Médecin

Demande de

certificats CPS

Validation de commande

certificats CPS

CPS

Renouvellement

certificat CPS

-Jean OLIVE

- Médecin

- N° RPPS

- Groupe interne

Cartes

AES – identité et qualité

AES – Certificats

Gestionnaire des

cartes

Enregistrement de la carte

CPS d’un médecin Médecin

Lecture du certificat

CPS

Plateforme

IAM

Enregistre la carte

Vérification CPS

Plateforme

IAM

Accès à une application

Médecin

SSO

- Vérification identité

- Autorisation

- Recherche d’habilitations Cartes

AES - habilitations

Annuaire de sécurité

DPE

Dictao Healthcare Identity and Access Management (DHIAM)

Dictao - David Robert drobert@dictao.com

Autorité de

certification

ASIP / CPS

Autorité de

certification

Poste de personnalisation

Système de gestion de cartes

d’établissement

DHIAM Annuaire

d’établissement

(identités,

habilitations,…)

Etablissement Professionnel de Santé

Carte établissement

personnalisée

Fonctionnalités DHIAM

• Enregistrement des demandes de cartes • Validation des demandes • Activation des cartes • Déblocage • Remplacement • Désactivation • Mise hors service • Emission de carte de secours • Renouvellement de certificat d’établissement • Téléchargement de certificat CPS

Démonstration du mode Kiosque

Le mode kiosque correspond à la mise à disposition d’un poste

de travail en libre-service.

Ce mode de travail est particulièrement utile au cas d’usage de

personnel soignant amené à se déplacer dans différents lieux en

conservant un accès permanent au Système d’Information

Hospitalier.

La démonstration qui suit va présenter :

1.La première connexion de l’utilisateur à un poste de travail

2.L’utilisation du poste de travail avec la carte en mode sans

contact

3.Le verrouillage du poste de travail

4.L’utilisation du poste de travail par un second intervenant

5.Le retour du premier utilisateur et la récupération de son

contexte de travail

Nom de l’utilisateur

Timer de présence de la carte

Timer d’activité de la session

de l’utilisateur

JTHERIP

20

60

GEMALTO

SOUFFLOT Jérôme Bus Dev Santé Française Gemalto

25 25

Un badge employé

multiservices

Sécurité des accès

Self

Accès sécurisé aux postes Smart Logon

Authentification •Accés SIH via Certificat GICPS

•Accès distant OTP

Le déploiement d’un badge

employé pose les fondations

pour une gestion complète de

l’accès et de l’identité

Le badge d’établissement multiservices – IAS ECC

distributeurs

parking

IAS ECC

Gamme complète de lecteurs

PS et patient

(CPS, CE, vitale)

Contact seul

(CPS)

Contact- Sans Contact

(CPS V3 , CE)

Prototype/appel à projets

SBH (porte Badge)

SBH consiste :

Un portebadge « format cartes » communicant en sans contact (Bluetooth) pouvant s’interfacer avec tous types de PC nécessitant une carte à puce

Apporte une réelle ergonomie d’usage sans compromis de sécurité

Compatible avec tous les types de cartes y compris hybrides (sans contact pour l’accès physique)

Distance de communication paramétrable (ex par défaut quelques mètres)

Dispositifs exclusifs

Possibilité d’adosser des nouveaux services : mémoire flash, geo-localisation

Extensions à venir pour des communications (P2P)

Porte Badge Bluetooth

Cas d’usage générique : Log on Windows 7 – verrouillage station de travail

Authentification Bluetooth

Verrouillage de la station quand l’utilisateur sort de la zone de détection

32 32

Gemalto dans le secteur Santé

Fournisseur Carte Vitale

Fournisseur Carte CPS

Personnalisation des cartes CPS

Expertise IAS

Conception et Développement du Middleware IAS, (adopté par le Secteur Public – ANTS ex DGME)

Fournisseur des Lecteurs Santé en France

(+50 000 lecteurs vendus)

Fournisseur de nombreux systèmes de santé à l’Etranger (UK, Allemagne, USA, Slovénie...)