Deux moyens éprouvés d’améliorer la sécurité réseau et la productivité en milieu hospitalier

Dans l’environnement actuel de la santé, deux des grandes orientations en matière de technologies concernent l’amélioration de la sécurité réseau grâce à la restriction de l’accès aux données et aux applications et l’amélioration de la productivité des collaborateurs grâce au déploiement de solutions conviviales.

À l’heure actuelle, plusieurs technologies se développent avec succès et rapidité auprès des professionnels de santé pour les aider sur ces deux points fondamentaux.   
Les autorisations de sécurité se doivent, avant tout, d’être adaptées au rôle de chaque collaborateur dans l’organisation. Une chose est acquise : garantir que les employés ont des droits d’accès appropriés améliore considérablement la sécurité. Seul bémol à ces bonnes résolutions : les délais souvent très longs de mise en œuvre de la configuration des contrôles qui peuvent s’étaler, dans certains cas, sur plusieurs mois.
Les solutions de contrôle d’accès par rôle (RBAC, role based access control) sont souvent d’une aide précieuse pour vous assister dans ce processus. La matrice RBAC est complétée avec les différents services, postes, sites et autres informations pertinentes et permet la mise en œuvre d’une méthodologie éprouvée afin de déterminer quel employé doit avoir accès à quelles applications et à quelles données.
Il est également possible de récupérer la plupart des éléments nécessaires à l’attribution des accès en les extrayant directement du SIRH. En complément, des scans d’Active Directory, du LDAP et les annuaires d’ autres systèmes informatiques des services de soins peuvent fournir un instantané de la configuration actuelle des accès. L’examen de ces données permet d’identifier les employés ayant un accès approprié pour chaque rôle et sert de base pour généraliser cet accès aux autres employés assurant la même fonction. Un système de demande d’accès garantit que les déviations de la norme sont approuvées par les responsables et par les propriétaires des systèmes concernés.
Il est essentiel que chaque utilisateur ait un compte réseau individuel. C’est d’ailleurs un prérequis à la mise en œuvre du RBAC. Dans le secteur de la santé, il est courant d’utiliser des comptes partagés : les infirmières ou les médecins se connectent sur une station de travail partagée avec un compte générique pour accéder à un certain nombre d’applications. Ces applications, les DMP ( dossier médical du patient) - par exemple - nécessitent d’autres informations de connexion, mais parfois les collaborateurs utilisent encore un compte partagé pour y accéder.
Il est alors difficile de tracer qui a consulté quelles données et quand. Une solution de gestion des identités, souvent associée au SIRH, fournit alors une réponse simple à la création de comptes utilisateurs individuels et peut assurer leur mise à jour avec les modifications de postes et de services par exemple, ce qui garantit que l’accès est modifié si nécessaire. Les départs d’employés, également gérés dans les systèmes RH, peuvent facilement être détectés pour assurer la révocation rapide de tous les accès au réseau et aux applications.
Mais le passage à des comptes individuels signifie que les employés doivent se rappeler de leurs informations de connexion (identifiant et mot de passe) pour une multitude de systèmes.
Une enquête récente a montré qu’un médecin passe en moyenne près de 10 minutes par jour à se connecter et se déconnecter d’applications. Sans compter que ce même médecin va devoir mémoriser également près de six à huit comptes et identifiants différents Si l’on réduit ou l’on élimine ces process très chronophages, on peut alors envisager des gains de productivité significatifs. La mise en œuvre d’une application d’identification unique (SSO pour Single Sign On), couplée à un changement rapide d’utilisateur sur les postes en mode kiosque (postes partagés), représente une approche viable et à forte valeur ajoutée pour limiter le temps passé par les praticiens lors de la connexion à leurs comptes.

Le principe de l’identification unique est simple : permettre aux utilisateurs de se connecter au réseau grâce à un accès unique; toutes leurs informations de connexion aux applications autorisées sont masquées et fournies en fonction des besoins. Bien qu’en apparence, cela puisse présenter un risque de sécurité, un concept connu sous le nom d’authentification forte (par exemple, fournir une information que vous connaissez, comme un code PIN, et un objet que vous possédez, comme une carte à scanner) peut réduire les risques associés.
L’utilisation d’une carte d’accès (par exemple : la même que celle utilisée pour pointer ou pour l’accès sécurisé au bâtiment) et la saisie d’un code PIN permettent aux utilisateurs de se connecter aux ordinateurs, un peu comme à un distributeur de billets. Dans le cadre du personnel soignant, la carte CPS peut également être utilisée comme authentification. Le retrait de la carte peut entraîner une déconnexion immédiate de toutes les applications et fermer le compte ouvert sur le réseau.
 
L’utilisation d’un système de suivi de session (follow me) pousse ce concept encore plus loin.
Imaginez qu’un médecin fasse sa ronde, en se connectant à plusieurs ordinateurs, car il va systématiquement chercher à utiliser le plus proche de la chambre de son patient. Le changement rapide d’utilisateur permet au docteur d’utiliser sa carte d’accès (CPS ou autre badge) et son code PIN pour accéder à la machine et toutes les applications ouvertes, utilisées précédemment, sont immédiatement disponibles, dans le même état que lors de sa déconnexion de la dernière machine. Une solution similaire, disponible pour l’environnement de services des terminaux Microsoft et Citrix, est généralement connue sous le nom de « suivi de session (Follow Me) ». Les sessions « suivent » ainsi le praticien dans sa tournée, quel que soit l’ordinateur ou le terminal auquel il se connecte.
En résumé, l’utilisation de comptes réseau et d’une matrice RBAC pour configurer l’accès aux systèmes et aux données optimiser la sécurité globale des systèmes informatiques dans les hôpitaux, et la mise en place d’une solution SSO permet aux utilisateurs d’accéder sans peine au réseau et de libérer du temps productif et fort précieux pour soigner les patients.

Microsoft / SIRH