L’annuaire central : une protection pour tous les systèmes et toutes les données
Force est de constater que la gestion des accès dans les établissements de santé est devenue un vrai casse-tête dans les entreprises et en milieu hospitalier.
C'est encore plus flagrant dans les établissements de soins. Pour la simple et bonne raison que les établissements de santé utilisent de multiples systèmes d’information contenant les données du personnel, qui sont amenées à augmenter, et qu’ne parallèle, ces mêmes établissements, en raison de leur développement, doivent faire face à des fusions et à des plans sociaux divers et variés et ainsi qu’à un roulement de personnel permanent. Face à une multitude d’évolutions et de systèmes, il s’avère souvent difficile de mettre en place les changements adéquats au niveau du réseau. Prenons l’exemple d’un nouveau compte utilisateur qu’il faudrait créer avec les droits d’accès appropriés pour accéder à différents systèmes ciblés suite à une fusion, une mauvaise attribution des droits d’accès impliquerait que la sécurité des informations ne serait plus conforme ni assurée.
La capacité à anticiper rapidement l’afflux, le transfert et/ou le départ de ressources requiert une visibilité totale et uniforme sur l’ensemble des données du personnel au sein d’un système source unique. C’est ce que l’on appelle de l’annuaire central. Or, dans les faits, ce dispositif est bien souvent incomplet - voire inexistant - au sein de nombreuses organisations. Dès lors, le responsable de la sécurité est obligé d’interroger les différents administrateurs système afin de connaître l’identité d’un employé, ses habilitations et les ressources de données auxquelles il a accès. Au final, les informations en question sont fragmentées au sein de différents systèmes tels que le système de gestion des équipements informatiques, l’Active Directory, le dossier numérique du patient, ou encore d’autres systèmes requérant des autorisations complexes, comme les applications de planification et d’ordonnancement.
L’Active Directory comme système source : une vraie fausse bonne idée !
L’Active Directory est souvent utilisé comme système source pour l’attribution
des droits d’accès, ainsi que pour consigner toute information additionnelle
relative au personnel ou en rapport avec l’organisation. Les droits d’accès
sont utilisés pour des groupes de l’Active Directory et vont de pair avec des
informations de type numéro de chambre, fonction ou service, qui sont
ajoutés aux comptes d’utilisateurs. Cependant, les organisations ayant ce mode
de fonctionnement sont vite confrontées aux limites du système. Tout d’abord,
l’Active Directory n’est pas vraiment l’outil le mieux adapté pour gérer des
accès physiques. Tout comme il n’est pas non plus prévu pour administrer des
personnes ayant plusieurs contrats de travail et œuvrant au sein de différents services.
De plus, la principale contrainte qui fait la réelle difficulté à utiliser l’Active
directory comme système source, ce sont les droits d’accès à proprement parler,
ces derniers offrant une visibilité bien trop limitée d’un individu en
particulier. Les groupes d’Active Directory sont souvent utilisés pour gérer
l’accès aux applications.
Cependant, avec certaines applications dédiées du
secteur de la santé comme le dossier numérique du patient, les droits d’accès
ne sont souvent pas gérés via l’Active Directory, l’outil n’étant pas assez
élaboré pour cela. En effet, la vision des utilisateurs se limite à identifier
si une personne a ou non accès à l’application et ne permet pas de savoir ce
que cette personne est autorisée à faire au sein de l’application.
Le Système RH comme système source : une solution attrayante qui a ses limites…
D’autres organisations font le choix d’utiliser leur système
d’information RH comme système source d’implémentation des changements au sein
de leur réseau. Lorsqu’un nouvel employé est ajouté au système RH, un compte d’utilisateur
est généré immédiatement.
Le système RH n’est cependant pas exhaustif. Très
souvent, en effet, les travailleurs indépendants, les médecins spécialisés
issus de partenariats et autres tiers ne sont pas ou partiellement intégrés au
système. Par ailleurs, en dépit du fait que le système RH constitue une
véritable source de données, il ne contient pas toutes les informations critiques
nécessaires au département informatique. Un système RH traditionnel se contente
de répondre à la question : “qui est
cette personne et quel est son rôle au sein de l’organisation?”. Cependant, il ne contient aucune information sur les droits d’accès des
utilisateurs (de quels droits dispose un employé au sein du dispositif de
dossier numérique des patients ?) ou sur les ressources (téléphone, badge
d’accès ou station de travail) mises à leur disposition.
Ce type d’informations
doit provenir d’autres systèmes. Au départ d’un collaborateur, le compte Active
Directory correspondant sera désactivé automatiquement. Malheureusement, il
n’est pas aisé d’effectuer d’autres procédures pourtant nécessaires, comme, par
exemple, désactiver le badge d’accès concerné, récupérer le téléphone portable
et retirer le numéro des annuaires internes. La désactivation de comptes
d’utilisateurs sur des systèmes fonctionnant avec le cloud s’avère être une
tâche encore plus complexe.
Certaines organisations ont recours au RBAC (Role Based Access
Control/Gestion des Accès basée sur des rôles) parallèlement au système RH pour
installer le système de gestion des droits d’accès. Avec cette méthode, les autorisations
ne sont pas attribuées sur une base individuelle, mais sur la base des rôles RBAC.
Ces rôles comprennent à leur tour des informations sur le département, le
poste, le site ainsi que le centre de coûts d’un employé. Cependant, le RBAC a
ses limites lorsqu’il est question de mouvements de personnel. Le RBAC fournit
uniquement une vue d’ensemble des droits d’accès des employés dans le cadre
d’une nouvelle fonction ou de leurs droits d’accès passés. On parlera alors de
la « situation actuelle » et
de la « situation souhaitée ».
L’écart entre ces deux situations (« actuelle » et « souhaitée »)
peut indiquer que les employés se sont vus octroyer plus de droits depuis, chose
qui devrait être validée au cours de leur transfert. Aucune visibilité sur les
droits d’accès dont les utilisateurs ont besoin n’existe, ni d’ailleurs sur leurs
droits antérieurs, de sorte qu’il est difficile de contrôler le processus de
façon simple.
Identity Vault : enregistrer les données à la source pour une vision à 360°, unique et centralisée
Plutôt que d’utiliser l’Active Directory ou le système de RH comme système source, une meilleure solution consisterait à livrer ces informations en même temps que d’autres données en une seule opération unique et transparente : l’enregistrement à la source.
L’objectif de l’enregistrement à la source est d’avoir un annuaire central avec un enregistrement unique prépondérant pour l’ensemble des identités au sein de l’organisation toute entière. Grâce à l’annuaire source, les données personnelles sont récupérées depuis différentes sources d’information (ex : le SIRH, l’ordonnancement, la gestion du planning, l’Active Directory et le système de gestion des équipements). Ces données pourront être par exemple le nom, l’adresse, les coordonnées, les informations du contrat de travail, le numéro de chambre, le poste, le nom du N+1 de l’employé, ainsi que les ressources utilisées, comme par exemple le numéro de téléphone et le numéro de badge d’accès. Toutes les données sont compilées dans l’annuaire central. Cet ensemble de données fait également référence à l’Identity Vault.
L’annuaire central est primordial pour attribuer des accès physiques et logiques. Toutes les autorisations transitant via le réseau sont intégrées puis stockées dans l’annuaire central pour pouvoir être retrouvées par la suite. L’annuaire central permet d’avoir une visibilité à 360 degrés sur l’identité des utilisateurs, sur ce qu’ils sont autorisés à faire et sur les ressources dont ils disposent. Si des personnes ne sont pas enregistrées dans l’annuaire central, elles ne pourront pas accéder au réseau de l’entreprise, ni aux réseaux locaux d’ailleurs (pour partie en tous les cas). Toute modification apportée au système RH par exemple se traduira par une modification au niveau de l’annuaire central. Dès lors qu’il est possible de tracer les données, le responsable de la sécurité peut également consulter les informations relatives à une personne donnée et savoir dans quels systèmes elle est présente, sous quelles identités et ce qu’elle est autorisée à faire. Le responsable de la sécurité peut également connaître pour chaque service et pour chaque équipe, quels droits d’accès sont utilisés, par qui et peut ainsi identifier rapidement toute anomalie.
Le double effet de l’annuaire central: auditer et rationnaliser l’utilisation et le coût des licences logicielles
En plus des avantages consistant à implémenter des procédures plus efficaces en termes d’entrée, de transfert et de départ de personnel, de pouvoir identifier et répondre de façon proactive à tout incident de sécurité, l’annuaire central peut être utilisé à des fins d’audit. Du fait de la mise à disposition d’un tableau de bord centralisé permettant de tracer toutes les demandes d’accès aux applications, il devient dès lors plus facile de mettre en œuvre les audits liés aux licences logicielles. Dans ce cas de figure, le tableau de bord fonctionnera comme un outil de business intelligence au service des droits d’accès.
L’annuaire source peut également être utilisé afin de contrôler le coût des licences. En effet, grâce à la technique du role mining (exploration des rôles), une vision globale des applications généralement disponibles peut être fournie pour chaque service de l’entreprise. Cette correspondance est susceptible de mener à la conclusion suivante : 90 % des employés occupant un poste bien précis au sein de l’organisation (ex : infirmière du service de cardiologie) utilisent une application spécifique, par exemple le système de planification. Une fois que les applications requises ont été identifiées pour un poste précis, il devient dès lors aisé de localiser les employés occupant le même type de fonctions et utilisant des applications différentes (onéreuses pour le coup). Dans ces cas bien précis, un nouveau contrôle peut être réalisé. Après tout, il est plus que probable que l’employé en question soit à l’origine de coûts de licence injustifiés.
Enfin, tout évènement qui serait déclenché dans l’annuaire central se traduira par une action au niveau du réseau. En reliant l’annuaire central à un système de provisioning, ces actions liées au réseau peuvent être déployées automatiquement. Au départ d’un employé, le système de provisioning déclenchera une procédure permettant de clore son compte d’utilisateur.