mardi 2 décembre 2014

Authentification forte des acteurs de santé

Par Frédéric Lefebvre
Ingénieur Avant-Vente
L’évolution de la législation et du cadre réglementaire fixé par l’ASIP Santé, notamment dans le cadre de la PGSSI-S, impose aux centres hospitaliers de mettre en place une Politique Générale de Sécurisation de leur Système d’Information.

En effet, la responsabilité juridique de l’établissement peut être engagée si des manquements sont constatés dans le traitement et la manipulation des données médicales (Loi du 4 mars 2002 relative aux droits des patients).

Par ailleurs, de plus en plus d’établissements mutualisent leurs équipements, et sont amenés à échanger des données sensibles sur leurs patients. Très vite, se posent alors des questions pratiques sur les moyens à mettre en œuvre pour assurer la confidentialité des échanges et limiter les accès aux personnes qui fréquentent le CH et qui seraient tentées d’avoir accès à des informations sensibles sur des patients sans en avoir le droit.

Pour sécuriser un SIH, il convient de mettre en œuvre une authentification forte à l’aide d’une carte à puce de type CPS ou carte d’établissement.

Pour rappel, l’authentification forte (à deux facteurs) consiste à combiner un support physique (la carte de l’utilisateur) et une donnée connue de l’utilisateur (le code PIN de la carte).

La PGSSI définit plusieurs niveaux de sécurité organisés selon 3 paliers pour les établissements de Santé, en fonction des usages à mettre en place. L’authentification forte repose sur la carte CPS (Carte professionnel de santé) distribuée par l’ASIP. Elle contient un certificat avec l’identifiant national du professionnel. C’est un des moyens d’authentification les plus utilisés à l’heure actuelle : elle permet de s’assurer de l’identité du porteur et de réaliser des opérations d’authentification sur des applications médicales, ainsi que sur le SIH.

La carte CPS présente de multiples avantages :
  • elle embarque les certificats de l’ASIP Santé pour réaliser une authentification forte : pas besoin de gérer une infrastructure de type PKI (Public Key Infrastructure) en interne
  • l’émission et le renouvellement des cartes CPS sont assurés par l’ASIP Santé
  • les supports sont gratuits
  • la carte CPS permet de réaliser une authentification publique en dehors du SIH
  • et surtout, les cartes CPS v3 embarquent une puce sans contact, ce qui permet d’en faire une carte multi-services
Ce type de support permet de centraliser sur une seule et même carte l’ensemble des services proposés au sein de l’établissement. Terminé les badges dédiés à chaque usage : le self, le parking, les accès aux locaux, l’authentification sur le SIH….

Ce support « multiservices » permet de faciliter son adoption par les agents hospitaliers : ils l’utilisent pour tous leurs besoins au quotidien, ce qui réduit considérablement les cas d’oubli ou de perte de badge.

Le complément idéal de l’authentification forte est une solution d’authentification unique (SSO). Elle va permettre de transformer les contraintes réglementaires en véritables atouts. L’arrivée de la carte est alors vécue comme un réel confort au quotidien car l‘ensemble des opérations sur les différentes applications médicales est facilité par l’injection automatique des couples login/mot de passe de la personne connectée. Le verrouillage/déverrouillage du poste de travail est plus simple, plus rapide, puisqu’il suffit de passer sa carte pour ouvrir ou récupérer sa session de travail.

Les agents hospitaliers sont plus efficaces et gagnent du temps pour se concentrer sur les tâches les plus importantes, et ce, dans l’intérêt du patient.

Le SIH renforce la traçabilité et anticipe les futurs besoins de mutualisation ou de partages d’applications avec l’extérieur notamment avec le support des cinématiques de fédérations d'identités. Prenons l’exemple d’un professionnel qui souhaite accéder à un service sur le portail régional de santé : pour ne pas avoir à se réauthentifier auprès du portail qui exige une authentification forte, une fédération peut être mise en place entre ce portail et l'établissement duquel il dépend. Cette fédération met en œuvre des protocoles normalisés tels que SAML ou encore Interops afin d'échanger l'identité de l'utilisateur de manière sécurisée.

Pour répondre à ces enjeux, chaque établissement doit donc mener une démarche volontaire pour sécuriser son SIH à travers quelques points clés :
  • mener un audit des lacunes du SIH en matière de contrôle d’accès et traçabilité en s’inspirant des guides mis en place par l’ASIP Santé
  • mettre en œuvre une solution d’authentification forte par carte (de type CPS ou Carte d’établissement)
  • ajouter un système de contrôle d’accès et d’authentification unique (SSO) pour améliorer la traçabilité, et traiter toutes les problématiques de mots de passe des applications


Cette sécurisation aura en plus le mérite d’apporter davantage de confort et d’ergonomie au personnel hospitalier qui utilise pléthore d’applications médicales quotidiennement : ils n’auront plus qu’à retenir un seul code PIN, en lieu et place d’une multitude de mots de passe... Ils vous en seront reconnaissants...

mercredi 11 juin 2014

Single Sign-on : confort ou sécurité ?


Olivier Morel, Directeur Avant-vente chez Ilex, répond à la question suivante "Single Sign-on : confort ou sécurité ?" dans le dernier numéro de IT for Business.

Le lancement d’un projet d’authentification unique (ou SSO pour Single Sign-On) au sein d’une organisation est souvent lié à l’insatisfaction des utilisateurs du système d’information, qui en ont assez de devoir retenir pléthore de couples identifiants / mots de passe pour se connecter aux applications, souvent très nombreuses, qu’ils utilisent quotidiennement.
En l’absence d’une solution chargée de mémoriser ces identifiants/mots de passe et de les « jouer » sur les applications à la place des utilisateurs, ces derniers passent traditionnellement par quelques raccourcis peu conformes à ce qu’on appellerait courageusement ici une politique de sécurité : utilisation de mots de passe faibles (peu de caractères, simples à mémoriser, souvent connus de tout l’entourage, etc.), mémorisation sur des supports résistant à la dématérialisation (syndrome du Post-it), communication des mots de passe à des collègues « de confiance » lors des périodes d’absence, etc.
Accessoirement, pour le RSSI, l’absence d’une telle solution a également des répercussions : stratégies de sécurité et politiques de mots de passe incohérentes (quand elles existent) et propres à chaque application, niveaux de sécurité différents (quand il y en a), traçabilité compliquée (vive les logs…), etc.
Enfin, les coûts pour l’entreprise sont bien réels. D’éminents analystes du marché de la sécurité estiment que les opérations de réinitialisation de mots de passe par le support interne coûtent aux grandes entreprises plusieurs dizaines d’euros par utilisateur et par an.

 Pour lire la suite de l’article, cliquez ici.

vendredi 18 avril 2014

Lancement d’un nouveau Groupe de Travail au CLUSIF : « Gestion et Gouvernance des Identités et des Accès »


En juillet 2007, le CLUSIF a publié un dossier technique intitulé « Gestion des identités ». Cela fait donc 7 ans, et si les concepts exprimés dans ce dossier sont toujours évidemment bons, il apparaissait nécessaire de travailler sur un nouveau dossier intégrant les évolutions suivantes :

  • Les technologies et les usages ont évolué : on ne parlait évidemment pas de Cloud ni de BYOD dans le dossier de 2007, et pourtant les notions d’identités et d’accès y sont maintenant fondamentales. De même pour tout ce qui concerne les techniques d’authentification par exemple, ou encore les  réseaux sociaux et l’interaction avec le monde de l’entreprise. 
  •  La législation a évolué : en 2007, on faisait référence dans le dossier technique à « Bâle 2 » par exemple. Or il y a eu depuis « Bâle 3 ». Les lois et recommandations ont également évolué au niveau national (CNIL, RGS, Décret de Confidentialité, LPM).
  • Le SI s’est étendu, et les projets et offres de fédération d’identités sont maintenant courants. Dans le dossier de 2007, cette notion était abordée de façon relativement technique. C’est pourtant bien souvent une problématique purement « business » avant tout. A l’heure ou beaucoup de solutions se développent largement autour de cette notion de fédération d’identités, ce point mérite d'être approfondi.
  •  Un certain nombre de grands projets de gestion d’identités ont échoué ces dernières années. La façon de voir et d’aborder les choses aujourd’hui a bien évolué depuis 2007 : approche plus pragmatique, par itérations, etc.
  •  La gouvernance des identités n’a pas été traitée en 2007. C’est pourtant aujourd’hui un sujet bien mature et fondamental également. L’analyste Gartner, par exemple, dans son dernier Magic Quadrant sur ces thèmes, a unifié les deux carrés magiques de l’IAM et de l’IAG.
  •  En 2007, l’accent avait été essentiellement mis sur la gestion des identités. Dans le contexte actuel, il ne faut pas négliger la gestion des accès.

En bref, l’idée de ce nouveau « Groupe de Travail » du CLUSIF est de produire un dossier sur la « Gestion et Gouvernance des Identités et des Accès ». Il s’agit non pas de revoir/corriger le document existant, mais bien d’en refaire un nouveau. Olivier Morel, Directeur Avant-vente chez Ilex, a été nommé Responsable de ce groupe de travail.

Ici la description du GT sur le site du CLUSIF : http://www.clusif.fr/fr/clusif/gt/gt.asp?gid=53

Pour en faire partie, il faut d’abord être adhérent du CLUSIF (http://www.clusif.fr/fr/clusif/adhesion/), avoir des choses à dire sur l’IAM/IAG, et être motivé !

vendredi 14 février 2014

Gestion des utilisateurs du cloud

L’usage d’applications dans le cloud ou en mode SaaS est de plus en plus répandu en entreprise. Il s'agit d'une tendance profonde du marché car elle simplifie la mise à disposition d'applications et rapproche les fournisseurs de services de leurs consommateurs sans passer par l'IT.
Les entreprises doivent prendre en compte ces nouveaux modes de gestion des applications. En effet, celles-ci sont décentralisées, et bien que leurs interfaces soient très récentes, les personnes en charge de ces applications doivent gérer les utilisateurs "à la main" avec toutes les sources d'erreurs inhérentes à ce type de fonctionnement. Les conséquences de cette gestion sont connues en terme de sécurité (oubli des mots de passe par les utilisateurs, nombreux comptes dormant, politiques de mots de passe faibles induisant des trous de sécurité) et en terme d’économie (le prix de l'utilisation du service dépend de son utilisation). La solution IAM (Identity & Access Management), qui donne la main aux fonctionnels en intégrant un support des applications dans le cloud ou en mode SaaS prend alors tout son sens.

Comment réaliser le provisioning du cloud ?
Il n'y a pas aujourd'hui de standard unique pour gérer le provisioning des applications en mode SaaS. Le standard SPML (Service Provisioning Markup Language) n'a pas pris sur ce segment. Quant au SCIM (System for Cross-domain Identity Management), il est encore très peu utilisé,  même par les promoteurs de ce standard (Google, Ping Identity et SalesForce par exemple, ne l'utilisent pas pour le provisioning de leurs applications) , ou bien il est utilisé comme bannière marketing pour les nouveaux arrivants sur le marché de l'IAM. Il n'en reste pas moins que le standard SCIM, qui sera plus abouti en version 2.0, a de nombreux atouts pour l'avenir car il est simple d'utilisation via son interface REST, plus facile à paramétrer que le SPML et enfin plus extensible dans la définition de l'utilisateur.
En pratique, la gestion du provisioning de ces applications est basée sur des connecteurs réalisés « à façon », par exemple :
·        Le provisioning GoogleApps est basé sur les API REST. Les premières versions avaient également des implémentations en Java et Python, mais ce n'est plus le cas dans la version courante. Google propose une API très complète et ne cesse de la faire évoluer : il faut être régulièrement à jour. Sachez que l'API a des limitations au niveau de l'usage (par exemple la fréquence d'utilisation), et que Google se dégage de toute responsabilité dans l'utilisation du service.
·        Le provisioning Office 365 et Exchange Online n'est vraiment opérationnel qu'en utilisant les API PowerShell, l'interface REST étant plutôt destinée à l'interrogation. La complexité tient donc dans la maîtrise de l'exécution du PowerShell depuis les serveurs Microsoft dédiés.
·        Salesforce a une gestion intéressante de la création de compte car elle peut se faire à la volée lors de la connexion. Pour cela, il faut être dans une fédération d'identités où le serveur d'identités indiquera au service Salesforce les paramètres nécessaires à la création de l'utilisateur, réalisant ainsi le Just-In-Time (JIT) provisioning. Quant à la gestion des modifications et suppressions de comptes il faut utiliser l'API REST.

Comment mettre en œuvre le provisioning du cloud dans l'entreprise ?
Le cloud révolutionne les usages et la façon dont les entreprises utilisent et administrent ses services. Quant à la gestion des identités, elle doit rester le garant de la politique de sécurité de l'entreprise qui, tout en étant agile, doit être unique et centralisée. Les outils qui promeuvent une gestion des identités dans le cloud et uniquement pour le cloud font fausse route (ou du bricolage). Les outils de gestion des identités doivent s'adapter pour gérer les applications du cloud de la même façon que les applications internes. Le niveau de service et la simplicité d'utilisation des fonctions de gestion des identités ne dépendent pas de la localisation des serveurs !

Pour être complet, il faudrait évoquer aussi comment les mécanismes de Fédération des identités peuvent également renforcer de façon définitive la sécurité de ces systèmes. Ce sera l’objet d’un prochain billet.


En conclusion, les solutions d'IAM ont encore un bel avenir car si l'on veut maîtriser la sécurité et les coûts, il faut être capable de gérer au plus juste ses utilisateurs internes et externes, consommateurs de services internes et externes.

Bienvenue sur le Blog Ilex !

Editeur spécialisé dans l'IAM, nos sujets de prédilection sont : la gestion d'identité, la gouvernance, le contrôle d'accès, et plus largement, la sécurité informatique. Depuis plus de 25 ans, Ilex a su développer une réelle expertise dans la sécurité informatique.

Via ce blog, nous échangerons avec vous  sur les technologies et les tendances du marché. Nous vous tiendrons également au courant de nos actualités.

Bonne lecture !