Projets

Ramsay Générale de Santé renforce l'authentification des applications

Christophe Maira, RSSI de Ramsay Générale de Santé, a poussé l'adoption de l'authentification forte.

Le groupe Ramsay Santé a intégré l'authentification forte d'Ilex avec l'aide de Synetis pour sécuriser ses applications. Un chantier que détaille Christophe Maira, RSSI du groupe.

PublicitéLes chiffres sont éloquents : 120 établissements, 23 000 collaborateurs (dont 18 000 personnels soignants), 6 000 praticiens, 2 millions de patients et 15 millions de consultations par an. Ramsay Générale de Santé est sans conteste un poids lourd dans le domaine médical privé. Au sein de la structure, Christophe Maira est le responsable de la sécurité des systèmes d'information (RSSI). Il y a 2 ans, une réflexion est menée pour refondre le SI.

Sur la partie sécurité, l'interrogation s'est vite portée sur la gestion des accès et des identités. « Il y avait un besoin de rationalisation et de renforcement de l'authentification sur chaque application », précise le responsable. Un durcissement rendu nécessaire par les contraintes réglementaires du code de la santé et des directives des ARS (Agence régionale de la santé). A cette volonté de consolidation s'est ajouté la prise en compte des spécificités du monde médical. « L'exemple le plus parlant est le chariot de soin comprenant un portable où plusieurs personnes peuvent se logger pour accéder au dossier patient. Il est impossible de demander aux personnels de s'authentifier plusieurs fois. Il faut donc être capable de gérer les sessions concurrentes », constate Christophe Maira. Autre élément à prendre en compte la disparité des ressources informatiques, « les établissements ont peu ou pas d'informatique en local », et des personnels très variés « avec des exigences différentes ».

Des bons partenaires et un pilote bien cadré

Une fois les problématiques posées, le RSSI s'est mis en quête d'un partenaire pour se faire accompagner. « Il était impératif que le partenaire connaisse le sujet du SSO (single sign on), du e-SSO et de la fédération d'identité », se souvient Christophe Maira. Un couple intégrateur-éditeur était privilégié pour assurer l'efficience du projet. Après des soutenances de candidats sur des cas d'usages (comme celui du chariot cité précédemment), le choix s'est porté sur le duo Ilex-Synetis.

La mise en oeuvre du projet a débuté par un pilote. « Un point très important, car il y avait une forte résistance au changement », pointe le responsable et d'ajouter, « les opérationnels ont été les sponsors du projet en déterminant le périmètre (RH et comptabilité), l'établissement (en Ile de France) et les 5 applications représentatives ». Une fois les tests validés, le groupe a étendu les solutions d'authentification forte. La mise en place de cette dernière s'est déroulée de manière segmentée. « Le e-SSO était nécessaire pour les clients lourds », avoue Christophe Maira en ironisant sur « la solution du dernier choix ». Les applications web ont bénéficié de la solution Ilex de web SSO. « La fédération d'identité a été adoptée pour le reste des applications, même si certaines n'étaient pas éligibles et qu'un développement ad hoc a été nécessaire », relève le RSSI. Pour lui, « il s'agit d'une vraie révolution, c'est transparent, un régal pour une gestion centralisée ».

PublicitéQuand le RSSI assure le marketing de la sécurité

Une euphorie ne masquant pas quelques problèmes à gérer lors du déploiement. Le plus grand mécontentement provient de l'hébergeur qui a mis du temps pour livrer des machines. La relation avec l'intégrateur, Synetis en l'occurrence, a permis de lever des blocages et d'éviter les écueils. « Quand nous ajoutions un établissement au départ, nous menions en simultanée le déploiement de l'IAG (cycle de vie des identités) et de SSO. Nous nous sommes aperçus que les deux projets n'allaient pas à la même vitesse et qu'il fallait les dissocier ».
La résistance au changement était clairement un verrou à supprimer. Le RSSI avoue « avoir pris sa casquette de commercial pour vendre et négocier l'adoption de l'authentification forte ». Certains métiers sont plus difficiles à convaincre, « il y avait une appréhension du monde médical, car ils travaillent en flux tendus et dès que l'on touche ce qui se rapproche du bloc opératoire, il faut que cela marche absolument ».

Après un an et demi d'intégration et de déploiement, le bilan est satisfaisant. 20 applicatifs sont maintenant sécurisés, « certaines ont disparu dans le projet, d'autres ont été ajoutées notamment en mode SaaS ». Christophe Maira en profite au passage pour tacler quelques éditeurs « qui ne sont pas prêts sur les questions de sécurité ». 114 établissements sont concernés et les 6 derniers devraient l'être rapidement. Le responsable regarde maintenant l'avenir en voulant généraliser l'authentification forte sur les périmètres sensibles comme le domaine médical. La partie application mobile est aussi dans les tuyaux, tout comme le CIAM « Customer IAM » pour les applications à destination des patients. Christophe Maira a donc encore quelques années de labeur devant lui.