Le Centre Hospitalier Universitaire de Reims gère les mots de passe et l’accès aux applications à l'aide des solutions Imprivata

Introduction

Le Centre Hospitalier Universitaire de Reims est un établissement public de santé qui assure à la fois des missions de soin, d'enseignement et de recherche.
Hôpital de proximité pour l'ensemble du territoire rémois, il est également l’établissement de recours et de référence pour l'ensemble de la population de Champagne-Ardenne et offre à ce titre des modes de prise en charge innovants associés à des techniques médicales de pointe.
Le CHU de Reims possède une capacité totale de 2 425 lits et places, répartis sur 8 sites, afin d’accueillir 24 heures sur 24 tous les patients qui se présentent, y compris en urgence.. La population médicale et non-médicale travaillant au CHU de Reims représente environ 7 200 personnes.
Dans le cadre du Plan Hôpital 2012, le Centre Hospitalier Universitaire décide de s’attaquer à la refonte globale de son système d’information en 2009 afin d’en  moderniser et optimiser l’utilisation par l’ensemble du personnel médical, soignant et administratif. La première phase de ce projet de grande ampleur (appelé SIH 2012) donne donc la priorité à la réorganisation de la partie identification, authentification, habilitation et annuaire des utilisateurs.

Le Challenge

Avant de lancer le projet, il existait une multitude d’applications qui avaient chacune leur propre base de comptes utilisateurs, leurs mots de passe, voire même leur propre mode de lancement. Le seul moyen de minimiser la complexité de ce système d’authentification était d’attribuer un compte et un mot de passe générique à des groupes d’utilisateurs, une méthode qui écartait la notion de sécurité et de confidentialité indispensable à la bonne marche des activités du CHU.

Sylvain Roesch et Marie Vallas sont en charge, dans la première phase du projet SIH 2012, du sous projet intitulé CORE/Habilitations, relatif à la gestion des identités et des habilitations y afférentes.Ces 2 Chefs de Projets sont épaulés par une équipe de 3 personnes détachées spécifiquement sur ce thème, ainsi que par des ingénieurs systèmes et d’intégration.

Le provisionning de l’annuaire des identités est effectué à partir du logiciel de Gestion des Ressources Humaines grâce à un moteur de règle qui permet de définir les habilitations à partir de l’affectation et du métier du personnel concerné.

« Pour que l’unification du mode de lancement des appliations, de la gestion des mots de passe et du Single SignOn fonctionne, nous avions besoin de faire collaborer trois outils distincts : notre portail d’applications Citrix, une solution pour la gestion des mots de passe et le SSO et enfin, notre annuaire des acteurs et des habilitations pour la partie droit des utilisateurs dans les applications, » explique Sylvain Roesch.

La Solution Imprivata

Dans le cadre du projet SIH2012, l’établissement lance un appel d’offres remporté par la société CERNER pour la partie périmètre relative à la gestion médicale etadministrative du patient.. La société Imprivata s’est positionnée en tant que sous-traitant et donc partenaire de CERNER sur le sujet.

Le démarrage du dispositif d’ahbilitation a été réalisé  de manière généralisée, c'est-à-dire le même jour et pour l’ensemble des utilisateurs de l’établissement. Depuis, l’équipe en charge du projet réutilise l’infrastructure matérielle et logicielle ainsi déployée pour généraliser la solution Single SignOn progressivement à tous les composants du parc applicatif du CHU de Reims. Le CHU dispose de trois boitiers SSO, deux de ces appliances formant une solution de haute disponibilité destinée à la production et la troisième destinée à la pré-production. Chacun dispositif est placé dans une salle informatique distincte. Les trois boitiers sont totalement redondés afin de garantir la disponibilité permanente du service.

« La solution Imprivata s’intègre parfaitement bien avec la solution Citrix que nous utilisons pour offrir un portail de connexion aux utilisateurs dans lequel nous pouvons rajouter les applications au fur et à mesure afin de les faire basuler dans cette nouvelle technologie, » commente Sylvain Roesch.

Chaque utilisateur possède son accès personnel et confidentiel au portail et peut accéder à ses applications ou à ses services à tout moment, et sur n’importe quel poste de travail via un seul et unique identifiant et mot de passe. S’il doit quitter son poste de travail, il peut fermer sa session de manière classique ou bien il a la possibilité de la clore en la laissant active grâce à une option de verouillage automatique et instantané, ce qui lui permettra de retrouver sur un autre poste de travail toutes ses applications et logiciels dans l’état où il les a laissés, et ainsi gagner du temps.

Pour certains progiciels tels que MILLENNIUM de CERNER, la gestion des mots de passe de l’application est intégralement pilotée par l’appliance OneSign, ainsi personne ne peut connaitre les mots de passe enregistrés car ils sont générés de manière aléatoire.

L’équipe informatique du CHU de Reims a également développé une interface compatible avec l’appliance OneSign dans le but de créer une automatisation du pilotage de la chaine des applications en amont et à partir de l’annuaire.

Quand la Direction des Ressoures Humaines enregistre le dossier d’un agent en indiquant son métier, son service, si cet utilisateur doit utiliser par exemple l’application de gestion des laboratoires dans le cadre de ses missions, son compte, ses habilitations et son mot de passe utilisateur sont créés et provisionnés automatiquement dans l’application elle-même et dans le boitier Imprivata. Ainsi ce nouvel utilisateur dispose immédiatement de son authentification de type Single SignOn dès son arrivée sur les postes de travail de l’établissement, ce qui le rend  opérationnel dès sa prise de fonction.

La bascule vers des méthodes d’authentification forte a également été effectuée, mais de manière très ciblée pour le personnel administratif et médical du service des Urgences. Chacun de ses membres possède en effet une carte de type CPS (i.e, Carte de Professionnel de Santé) qui lui permet de se connecter avec un code PIN uniquement, sans taper manuellement un mot de passe. Compte tenu du caractère extrmement spécifique de leurs fonctions, les utilisateurs faisant partie de ce service peuvent optimiser leur temps de travail en ayant une connexion plus rapide et securisée à leurs applications et ainsi se concentrer sur les soins prodigués aux patients.

Les Resultats

Une ergonomie améliorée pour des utilisateurs plus performants

La solution Imprivata a permis d’apporter à la fois une uniformité et un lieu unique qui rassemble tous les accès aux applications via le même portail applicatif. De plus, cette fonctionnalité les accompagne sur l’ensemble des postes de travail du CHU de Reims. Dorénavant le personnel qu’il soit médical ou administratif bénéficie d’une plus grande souplesse et facilité d’accès aux applications, ce qui lui permet de gagner un peu d’un temps précieux sur chaque journée de travail. La fourniture des accès est de plus grandement améliorée lors des prises de postes. Par exemple, nous avons à gérer tous les six moix des vagues d’affectations et de départs pour les promotions d’internes en médecine. Il est important de pouvoir réduire au maximum le délai entre la prise de poste et la fourniture des accès. Ce délai qui était d’environ 15 jours avant la mise en place du projet est maintenant ramené à une journée – le temps de produire les documents d’information – pour les progiciels avec lesquels l’automatisation est complète.

Une maintenance centralisée et automatisée pour la DSI

« Nous avons beaucoup apprécié le fait de pouvoir gérer un mot de passe unique pour chaque utilisateur indépendamment du nombre d’applications dès lors que cette application a été basculée dans le nouveau système. Nous y voyons le cœur de la valeur ajoutée de la solution Imprivata, » se réjouit Mr Roesch.  « Cela a grandement amélioré et structuré notre manière de gérer les comptes utilisateurs, nous souhaitons automatiser au maximum les attributions d’accès et de droit. »

Aujourd’hui ce sont 24 applications qui ont été intégrées au portail Citrix.

Pour toutes les applications basées sur la technologie SSO, tout est géré en amont à partir de l’annuaire avec lequel est synchronisé l’appliance OneSign. Ainsi, il n’y a plus besoin de dévérouiller ou de gérer un mot de passe au sein même des applications.

Une sécurité renforcée pour une authentification simplifiée

Une étape primordiale a été franchie grâce à la solution Imprivata en termes de sécurité. En effet, le CHU de Reims a basculé du mode d’identification générique vers le mode d’identification nominatif.

Dorénavant 4 630 utilisateurs peuvent utiliser chaque jour leur mot de passe confidentiel et personnalisé sur n’importe quel poste de travail de l’établissement.