Les dossiers / SIH : Gestion de l’identité et des accès

SIH : Gestion de l’identité et des accès

La gestion de l’identité et des accès devient de plus en plus sensible dans les établissements de santé, notamment face à la généralisation des accès vers le Cloud. Les approches des éditeurs diffèrent mais les solutions existent…

Il est essentiel pour une entreprise que tout nouvel employé puisse obtenir ses habilitations d’accès sans délai et que les employés quittant l'entreprise n'aient plus accès aux locaux et encore moins au Système d’Information de l'entreprise ! Les établissements de Santé, fortement soumis aux aléas du turn-over n’échappent pas à cette règle. Aujourd’hui, de nombreuses solutions d’IAM (Identity Access Management) permettent d’automatiser le processus d’arrivée et de départ des ressources. Ces systèmes d’automatisation du cycle de vie de l’employé prennent plus ou moins en charge l’ensemble des événements RH : nouvelle embauche (création de compte, email, partages, habilitations, etc.), changement de fonction (modification des habilitations), changement de statut marital ou d’affectation site (révision des partages, modification de l’e-mail, etc.), départ (désactivation de compte). La première des caractéristiques d’un système de gestion des identités est sa capacité à fédérer les accès en parfaite cohérence avec un Active Directory ou une application de gestion RH d’un ERP.

Le BYOD : vecteur de complexité SSO…

Avec l’émergence des applications du Cloud, la mise en place des mécanismes SSO est bien plus complexe qu’en environnement intranet maîtrisé. Aujourd’hui, le fait de proposer une gestion automatique des e-mails hébergés (Google Apps, Office 365, etc.), voire la possibilité d’une affectation automatique des licences, est un avantage indéniable. De nombreuses applications sont aujourd’hui hébergées sur un domaine technique tiers et la procédure d’authentification habituelle via l’Active Directory devient caduque. Si on y ajoute les dispositifs de type SmartPhone et tablettes appartenant généralement aux individus (principe du BYOD – Bring Your Own Device), l’implémentation d’une logique SSO tend à se complexifier pour une équipe informatique interne qui est généralement déjà très sollicitée. La mise en œuvre de solutions IAM globales devient plus qu’une nécessité.

Avec la solution HelloID de Tools4Ever, le contrôle d’accès s’étend au Cloud : qui n’a pas été confronté à la problématique d’accès en urgence à une application smartphone en essayant, juste avant de monter dans le train, de saisir un mot de passe improbable sur un écran minuscule !

my SIH commentaire ::

Il devient urgent d’anticiper la gestion des contrôles d’accès au SI, associée ou pas aux accès « physiques », pour deux raisons essentielles : la multiplication des accès métier via le Cloud et l’émergence des regroupements dans une logique de GHT. Cette urgence concerne plus particulièrement les établissements de taille relativement modeste qui, dans une logique régionale, souhaitent garder la maîtrise de leur environnement SI…

Une solution SSO : pour quel objectif ?

Le déploiement d’une solution Single Sign-On permet tout d’abord d’alléger la charge de travail des équipes chargées de l’administration SI. Du côté des utilisateurs finaux, le constat est immédiat : plus qu’un seul mot de passe à retenir… voire aucun selon le type de dispositif déployé pour le contrôle d’accès. Toutes les solutions apportent un certain confort dans la création des comptes utilisateurs tout en respectant des politiques spécifiques (longueur, complexité, etc.). La caractéristique la plus significative est de permettre la mise en place d’une authentification forte « à deux facteurs ». Ce principe apparait comme un gage de sécurité dès lors que les utilisateurs ont invités à saisir un code personnel reçu par SMS pour pouvoir accéder à un local ou à une application. Parmi les autres fonctionnalités, la compatibilité avec les annuaires est indispensable pour pouvoir automatiser certaines actions : réinitialisation des mots de passe, ajout/suppression de comptes, modification d’attributs, etc. Certaines solutions assurent la création et la suppression de comptes de base de données (Oracle, MS SQL Server, etc.). D’autres permettent même de gérer les utilisateurs de la téléphonie : Créer, modifier et supprimer la ligne d'un employé et le référencement du matériel associé, définir des droits d'accès spécifiques (appels entrants/sortants, numéros nationaux/internationaux, numéros spéciaux, etc.).

Projet IAM : quel contexte ?

Les projets de contrôle des accès et de gestion des identités portés par l’équipe informatique sont par essence voués à l’échec. La problématique IAM est un vrai projet de maîtrise d’ouvrage qui doit être, en premier lieu, porté par la Direction de l’établissement. L’acteur principal est le service RH qui doit considérer, d’une part, le service informatique comme simple opérateur de mise en œuvre et, d’autre part, les services des soins en tant qu’exploitants quotidiens du système. Le service RH gère les mouvements de personnels et les affectations qui en découlent. Un SI moderne ne doit être qu’une conséquence de ces processus. Sans réelle approche « Projet IAM » sur la base de solutions dédiées, la gestion des accès et des identités reste sclérosée sous contrôle de l’équipe informatique avec une frustration globale des utilisateurs…

Des solutions ouvertes
Automatiser la gestion des comptes utilisateurs sur le réseau de l’établissement nécessite une pré-étude sérieuse en termes de compatibilité avec les systèmes et applications existantes. Un système de Gestion des Identités efficace doit proposer des connecteurs de niveau système, bases de données et applicatifs, sans oublier une connexion quasi-native aux annuaires. Il est essentiel de disposer de fonctionnalités d'auto-provisioning, d’importations en masse, voire de délégation de gestion d’annuaires. Du point de vue technique diverses options doivent être prises en charge : fichiers CSV, lien ODBC, SOAP/XML, services web, etc. ; le tout dans un environnement ergonomique et le moins intrusif possible

Retour aux dossiers