La Caisse nationale d'assurance maladie des professions indépendantes (CANAM), s'occupe des frais de santé de plus de 3 millions de personnes en France. A l'occasion de la migration de ses anciens mainframes Gcos vers une architecture J2EE en client léger (lire l'article du 16/05/2005), la direction informatique du groupe lance en 2003 un projet de sécurisation de cette nouvelle plate-forme.
"Plusieurs axes ont été définis : il nous fallait un annuaire et tous les outils pour le gérer, un méta-annuaire afin de sécuriser notre messagerie en la synchronisant avec les comptes bureautiques, et pour finir une solution d'authentification et de gestion de ces comptes bureautiques", explique Olivier Delaveau, responsable du pôle infrastructure technique à la CANAM.
"Beaucoup de prestataires extérieurs viennent en effet travailler à la CANAM, notamment au département informatique. Et s'il est facile de créer un compte, il faut pouvoir le supprimer ainsi que toutes les données liées lorsqu'un intervenant quitte la CANAM", ajoute Olivier Delaveau.
La caisse souhaite également éviter à ses utilisateurs de multiplier les comptes en fonction des applications. Elle s'oriente alors naturellement vers la recherche d'une solution de gestion des accès unifiée (SSO). Pour son annuaire et méta-annuaire, la CANAM opte pour l'outil Calendra, racheté depuis par BMC Software, et qui s'interface avec sa solution de messagerie Lotus Notes (Novell).
"Nous nous sommes fait aider lors de la phase d'étude par Norsys sur l'architecture J2EE et la partie sécurité. Ils nous ont aidé à cadrer nos idées même s'ils ne sont pas intervenus pendant nos choix de solution. En revanche, Norsys nous a soutenu pour l'intégration du logiciel", explique le responsable de la CANAM.
Interopérabilité et respect des standards souhaités par la direction |
La direction informatique met en avant trois critères techniques lors de la rédaction du cahier des charges : l'interopérabilité, le respect des normes et standards de sécurité, et le caractère multi plates-formes de l'outil. A l'époque, aucun critère fonctionnel ne retient vraiment l'attention de la direction informatique. Elle souhaite uniquement un outil simple mais capable de gérer les évolutions futures.
Après consultation du marché, la CANAM choisit la solution Siteminder de Netegrity, depuis tombée dans le giron de Computer Associates. Le poids de la société sur le marché et la tarification du produit ont joué un rôle dans la décision finale. Dès 2003, la direction informatique intègre dans ses applications de production les modules SSO développés sous Siteminder.
"Nous avons été amené à développer des choses pour que les applications métiers n'aient plus à se préoccuper de la sécurité. Désormais quand un prestataire externe arrive chez nous pour développer une application métier, il n'a pas ou peu à s'occuper de la sécurité. C'est Siteminder qui couvre la gestion des rôles, de l'authentification et de la sécurisation des pages", déclare Olivier Delaveau.
Dans ce cadre, l'intégrateur se charge de développer un fichier à plat qui contient toutes les URL des applications Web à sécuriser ainsi que les rôles affiliés. Ce tableau peut être chargé automatiquement dans le serveur de règles. Enfin, Siteminder s'interface avec l'annuaire Calendra pour vérifier les identifiants et les droits de l'utilisateur lors d'une connexion.
Désormais dans sa deuxième mise à jour majeure, Siteminder commence à équiper des applications majeures de la CANAM, notamment dans le domaine médical avec les applications de prévention santé et de gestion du dossier médical de l'assuré. La solution donne jusqu'ici entière satisfaction.
"Il n'y a pas eu de réels soucis, c'est un produit qui tourne et qui tourne bien. Récemment, nous avons eu un problème de performance mais il a vite été corrigé. Les seuls problèmes que nous avons rencontrés tenaient davantage à la conception des rôles dans l'annuaire. C'est une solution au cadre bien borné et peu complexe à utiliser ou du moins cette complexité nous a été masqué par le travail de l'intégrateur", indique le responsable de la CANAM.
Avec le temps et l'usage, des fonctions supplémentaires du produit donnent même matière à satisfaction comme la propagation d'habilitations via SAML par exemple. La CANAM qui doit gérer des contraintes d'authentification inter organismes peut ainsi reconnaître et autoriser un groupe d'utilisateur et non les référencer un par un.
Le
projet en bref
|
Société
|
CANAM
|
Secteur
d'activité
|
Caisse
d'assurance maladie
|
Type du projet
|
Gestion unifée des accès
|
Début du projet
|
Fin 2002
|
En
production depuis
|
Septembre 2003
|
Solution
retenue
|
SiteMinder de CA
|
|