L’annuaire central : une protection pour tous les systèmes et toutes les données

Force est de constater que la gestion des accès dans les établissements de santé est devenue un vrai casse-tête dans les entreprises et en milieu hospitalier.

 

C'est encore plus flagrant dans les établissements de soins. Pour la simple et bonne raison que les établissements de santé utilisent de multiples systèmes d’information contenant les données du personnel, qui sont amenées à augmenter, et qu’ne parallèle, ces mêmes établissements, en raison de leur développement, doivent faire face à des fusions et à des plans sociaux divers et variés et ainsi qu’à un roulement de personnel permanent. Face à une multitude d’évolutions et de systèmes, il s’avère souvent difficile de mettre en place les changements adéquats au niveau du réseau. Prenons l’exemple d’un nouveau compte utilisateur qu’il faudrait créer avec les droits d’accès appropriés pour accéder à différents systèmes ciblés suite à une fusion, une mauvaise attribution des droits d’accès impliquerait que la sécurité des informations ne serait plus conforme ni assurée.

La capacité à anticiper rapidement l’afflux, le transfert et/ou le départ de ressources requiert une visibilité totale et uniforme sur l’ensemble des données du personnel au sein d’un système source unique. C’est ce que l’on appelle de l’annuaire central. Or, dans les faits, ce dispositif est bien souvent incomplet - voire inexistant - au sein de nombreuses organisations. Dès lors, le responsable de la sécurité est obligé d’interroger les différents administrateurs système afin de connaître l’identité d’un employé, ses habilitations et les ressources de données auxquelles il a accès. Au final, les informations en question sont fragmentées au sein de différents systèmes tels que le système de gestion des équipements informatiques, l’Active Directory, le dossier numérique du patient, ou encore d’autres systèmes requérant des autorisations complexes, comme les applications de planification et d’ordonnancement.

L’Active Directory comme système source : une vraie fausse bonne idée !

L’Active Directory est souvent utilisé comme système source pour l’attribution des droits d’accès, ainsi que pour consigner toute information additionnelle relative au personnel ou en rapport avec l’organisation. Les droits d’accès sont utilisés pour des groupes de l’Active Directory et vont de pair avec des informations de type numéro de chambre, fonction ou service, qui sont ajoutés aux comptes d’utilisateurs. Cependant, les organisations ayant ce mode de fonctionnement sont vite confrontées aux limites du système. Tout d’abord, l’Active Directory n’est pas vraiment l’outil le mieux adapté pour gérer des accès physiques. Tout comme il n’est pas non plus prévu pour administrer des personnes ayant plusieurs contrats de travail et œuvrant au sein de différents services. De plus, la principale contrainte qui fait la réelle difficulté à utiliser l’Active directory comme système source, ce sont les droits d’accès à proprement parler, ces derniers offrant une visibilité bien trop limitée d’un individu en particulier. Les groupes d’Active Directory sont souvent utilisés pour gérer l’accès aux applications.
Cependant, avec certaines applications dédiées du secteur de la santé comme le dossier numérique du patient, les droits d’accès ne sont souvent pas gérés via l’Active Directory, l’outil n’étant pas assez élaboré pour cela. En effet, la vision des utilisateurs se limite à identifier si une personne a ou non accès à l’application et ne permet pas de savoir ce que cette personne est autorisée à faire au sein de l’application.

Le Système RH comme système source : une solution attrayante qui a ses limites…

D’autres organisations font le choix d’utiliser leur système d’information RH comme système source d’implémentation des changements au sein de leur réseau. Lorsqu’un nouvel employé est ajouté au système RH, un compte d’utilisateur est généré immédiatement.
Le système RH n’est cependant pas exhaustif. Très souvent, en effet, les travailleurs indépendants, les médecins spécialisés issus de partenariats et autres tiers ne sont pas ou partiellement intégrés au système. Par ailleurs, en dépit du fait que le système RH constitue une véritable source de données, il ne contient pas toutes les informations critiques nécessaires au département informatique. Un système RH traditionnel se contente de répondre à la question : “qui est cette personne et quel est son rôle au sein de l’organisation?”. Cependant, il ne contient aucune  information sur les droits d’accès des utilisateurs (de quels droits dispose un employé au sein du dispositif de dossier numérique des patients ?) ou sur les ressources (téléphone, badge d’accès ou station de travail) mises à leur disposition.
Ce type d’informations doit provenir d’autres systèmes. Au départ d’un collaborateur, le compte Active Directory correspondant sera désactivé automatiquement. Malheureusement, il n’est pas aisé d’effectuer d’autres procédures pourtant nécessaires, comme, par exemple, désactiver le badge d’accès concerné, récupérer le téléphone portable et retirer le numéro des annuaires internes. La désactivation de comptes d’utilisateurs sur des systèmes fonctionnant avec le cloud s’avère être une tâche encore plus complexe. 

Certaines organisations ont recours au RBAC (Role Based Access Control/Gestion des Accès basée sur des rôles) parallèlement au système RH pour installer le système de gestion des droits d’accès. Avec cette méthode, les autorisations ne sont pas attribuées sur une base individuelle, mais sur la base des rôles RBAC. Ces rôles comprennent à leur tour des informations sur le département, le poste, le site ainsi que le centre de coûts d’un employé. Cependant, le RBAC a ses limites lorsqu’il est question de mouvements de personnel. Le RBAC fournit uniquement une vue d’ensemble des droits d’accès des employés dans le cadre d’une nouvelle fonction ou de leurs droits d’accès passés. On parlera alors de la « situation actuelle » et de la « situation souhaitée ».

L’écart entre ces deux situations (« actuelle » et « souhaitée ») peut indiquer que les employés se sont vus octroyer plus de droits depuis, chose qui devrait être validée au cours de leur transfert. Aucune visibilité sur les droits d’accès dont les utilisateurs ont besoin n’existe, ni d’ailleurs sur leurs droits antérieurs, de sorte qu’il est difficile de contrôler le processus de façon simple. 

Identity Vault : enregistrer les données à la source pour une vision à 360°, unique et centralisée

Plutôt que d’utiliser l’Active Directory ou le système de RH comme système source, une meilleure solution consisterait à livrer ces informations en même temps que d’autres données en une seule opération unique et transparente : l’enregistrement à la source.

L’objectif de l’enregistrement à la source est d’avoir un annuaire central avec un enregistrement unique prépondérant pour l’ensemble des identités au sein de l’organisation toute entière. Grâce à l’annuaire source, les données personnelles sont récupérées depuis différentes sources d’information (ex  : le SIRH, l’ordonnancement, la gestion du planning, l’Active Directory et le système de gestion des équipements). Ces données pourront être par exemple le nom, l’adresse, les coordonnées, les informations du contrat de travail, le numéro de chambre, le poste, le nom du N+1 de l’employé, ainsi que les ressources utilisées, comme par exemple le numéro de téléphone et le numéro de badge d’accès. Toutes les données sont compilées dans l’annuaire central. Cet ensemble de données fait également référence à l’Identity Vault.

L’annuaire central est primordial pour attribuer des accès physiques et logiques. Toutes les autorisations transitant via le réseau sont intégrées puis stockées dans l’annuaire central pour pouvoir être retrouvées par la suite. L’annuaire central permet d’avoir une visibilité à 360 degrés sur l’identité des utilisateurs, sur ce qu’ils sont autorisés à faire et sur les ressources dont ils disposent.  Si des personnes ne sont pas enregistrées dans l’annuaire central, elles ne pourront pas accéder au réseau de l’entreprise, ni aux réseaux locaux d’ailleurs (pour partie en tous les cas). Toute modification apportée au système RH par exemple se traduira par une modification au niveau de l’annuaire central. Dès lors qu’il est possible de tracer les données, le responsable de la sécurité peut également consulter les informations relatives à une personne donnée et savoir dans quels systèmes elle est présente, sous quelles identités et ce qu’elle est autorisée à faire. Le responsable de la sécurité peut également connaître pour chaque service et pour chaque équipe, quels droits d’accès sont utilisés, par qui et peut ainsi identifier rapidement toute anomalie.

 

Le double effet de l’annuaire central: auditer et rationnaliser l’utilisation et le coût des licences logicielles

En plus des avantages consistant à implémenter des procédures plus efficaces en termes d’entrée, de transfert et de départ de personnel, de pouvoir identifier et répondre de façon proactive à tout incident de sécurité, l’annuaire central peut être utilisé à des fins d’audit. Du fait de la mise à disposition d’un tableau de bord centralisé permettant de tracer toutes les demandes d’accès aux applications, il devient dès lors plus facile de mettre en œuvre les audits liés aux licences logicielles. Dans ce cas de figure, le tableau de bord fonctionnera comme un outil de business intelligence au service des droits d’accès.

L’annuaire source peut également être utilisé afin de contrôler le coût des licences. En effet, grâce à la technique du role mining (exploration des rôles), une vision globale des applications généralement disponibles peut être fournie pour chaque service de l’entreprise. Cette correspondance est susceptible de mener à la conclusion suivante : 90 % des employés occupant un poste bien précis au sein de l’organisation (ex : infirmière du service de cardiologie) utilisent une application spécifique, par exemple le système de planification. Une fois que les applications requises ont été identifiées pour un poste précis, il devient dès lors aisé de localiser les employés occupant le même type de fonctions et utilisant des applications différentes (onéreuses pour le coup). Dans ces cas bien précis, un nouveau contrôle peut être réalisé. Après tout, il est plus que probable que l’employé en question soit à l’origine de coûts de licence injustifiés.  

Enfin, tout évènement qui serait déclenché dans l’annuaire central se traduira par une action au niveau du réseau. En reliant l’annuaire central à un système de provisioning, ces actions liées au réseau peuvent être déployées automatiquement. Au départ d’un employé, le système de provisioning déclenchera une procédure permettant de clore son compte d’utilisateur.