Cet article est le troisième d’une série sur la cybersécurité à découvrir sur le site Evolucare.
Le projet de déploiement
Déployer des moyens d’identification électronique substantiels et une authentification forte est un projet d’établissement. En effet, bien que l’exigence soit porté par le Ségur du numérique dans le cadre de l’accès au DMP, ça n’aurait pas de sens de déployer une solution spécifique à cet accès, et de conserver les solutions antérieurs pour les autres accès.
Côté éditeur, notre responsabilité première est donc de faire en sorte que nos produits soient compatibles avec les solutions que choisissent les établissements, parmi celles autorisées par le référentiel d’interopérabilité. Dans ces solutions, puisque nous avons exclu, dans l’article précédent, de passer par une étape “MIE eIDAS faible renforcé” pour aller directement à la cible, il reste deux possibilités aux établissements :
- Partir sur une solution “maison”, avec un matériel choisi par l’établissement, homologué selon les référentiels de l’ANSSI et accepté par l’ANS
- Partir sur une solution “du marché, sur la base des matériel certifiés par l’ANSSI, parmi lesquels figurent les cartes CPx
Cette 2ème solution est la recommandation d’Evolucare, car c’est celle qui apporte le plus de garanties aux établissements, pour le moindre effort, et qui s’appuie sur un référentiel maintenu par les autorités de santé et de cybersécurité.
En prenant du recul sur le projet, on peut identifier deux grands aspects à traiter : le sujet technique, et le sujet humain.
Parlons technique
Le sujet technique, nous l’avons vu dans les articles 1 et 2, n’est pas trivial, mais c’est celui qui peut le plus s’appuyer sur des technologies, des standards, voire sur des sociétés d’assistance à maitrise d’ouvrage ou à maîtrise d’œuvre. C’est ici qu’on voit tout l’avantage de l’utilisation des cartes CPx, puisqu’il existe une documentation fournie, et des retours d’expérience sur leur déploiement.
Dans les grands sujets techniques à aborder dans le projet, on va retrouver, tout d’abord, le choix des matériels (carte ou token physiques, lecteurs de carte…) et derrière ce choix, tous les sujets de compatibilité (avec l’ActiveDirectory – l’annuaire électronique des établissements, avec les logiciels utilisés, avec, éventuellement, les lecteurs d’accès physique).
On retrouve aussi une question de capacité à faire technique que n’ont pas forcément les établissements au début du projet, et qu’il conviendra de construire ou de renforcer pour permettre par la suite le maintien en condition de sécurité du système.
Le projet de déploiement – Parlons humain
Côté humain, le projet de déploiement ne peut réussir, et aboutir à de nouvelles habitudes ancrées dans les comportements qu’en prenant en compte dès le départ la conduite du changement, et en anticipant les réactions des futurs utilisateurs.
De ce fait, il est conseillé de commencer à identifier, dans chaque service, ou au sein de chaque type de population (médecins, personnel soignant, administratifs), au moins un “utilisateur-clé” qui aura la responsabilité de représenter ses collègues, en partageant avec l’équipe projet leurs besoins, en évaluant l’acceptabilité des évolutions proposées, et en se faisant le chantre du projet au sein des équipes.
Modifier les moyens d’identification et d’authentification, en particulier dans le cadre de la mise en place d’une authentification forte avec moyen d’accès physique, comme de le cas de la carte CPx, c’est en plus d’un projet technique, un projet organisationnel. Il faut donc se figurer, pendant la phase projet, les futurs modes de fonctionnement et leur localisation. Quand cette authentification sera-t-elle utilisée ? A quels endroits ? A quels moment dans le processus médical ? Comment peut-elle être intégrée de la manière la plus fluide possible dans les mouvements des utilisateurs ? Il faut également anticiper les difficultés de la vie ordinaire, comme par exemple les oublis de carte. C’est pour construire les réponses à ces questions que l’aide des utilisateurs-clés sera précieuse.
Un avantage de la carte CPx, qui peut être dupliqué sur d’autres systèmes dans le cadre d’un choix différent, c’est de permettre de consolider sur un seul support, non seulement les accès informatiques, mais aussi les accès aux bâtiments, à la cantine… Tout élément permettant de simplifier la vie des utilisateurs dans le cadre de ce changement doit si possible être mis en œuvre.
Et dans tout ça, il ne faut pas oublier les accessoires du badge. Un porte-badge, pour le protéger. Un dérouleur, pour pouvoir l’avoir sous la main, et actionner les contrôles d’accès facilement. Un tour de cou (avec le logo de l’établissement ?) pour les personnes qui préfèrent l’avoir au tour du cou qu’à la ceinture.
Il faudra également prévoir d’inclure dans le projet des formations pour les utilisateurs, avec des “fiches-repères” à distribuer libéralement les premiers jours après le déploiement, et un support renforcé pendant quelques semaines après chaque nouveau déploiement.
Parlons déroulement du projet
Si nous entrons maintenant un peu plus dans l’aspect temporel, on retrouve en général trois grandes phases dans les projets de déploiement de ce type.
Un “POC” (“proof of concept” / preuve de fonctionnement) : un tout premier déploiement, à petite échelle, sur une équipe n’exerçant pas de fonction critique dans l’établissement (par exemple, l’équipe IT, ou une équipe administrative). Ce POC est suivi d’un pilote, où l’on déploie l’intégralité d’un service Métier, si possible volontaire
Ces deux premières phases permettent de valider que l’on maîtrise toutes les étapes du déploiement, du fonctionnement, et du maintien en condition opérationnelle du nouveau système. Il s’agit en quelque sorte de “tests en condition réelle”.
Et enfin, une fois en maîtrise, le déploiement en lui-même, progressivement, service par service, en finissant par les services les plus critiques.
Dans le cadre de ce déploiement, il est recommandé de prévoir, si les moyens techniques le permettent, une phase de “marche parallèle” où l’authentification forte avec MIE substantiel est possible et recommandée, mais où l’authentification antérieure reste accessible, pour pallier rapidement aux éventuelles difficultés.
Il convient, pour assurer la réussite du projet, de s’inscrire dans une dynamique du “qui va lentement va sûrement”, et de ne pas essayer à toute force de tout faire en même temps. Le déploiement peut être cranté non seulement sur les services de l’établissement, mais aussi sur les fonctionnalités proposées avec le badge.
La conclusion du projet, c’est la formalisation d’une homologation de sécurité de l’ensemble du système qui permettra à l’établissement de s’interfacer avec le DMP (la transaction AIR) et sa déclaration à l’Assurance Maladie.
A suivre !
Retrouvez notre série Cyber sur notre site web :
- Maîtriser la Convergence Réglementaire en Mode SaaS (publié le 31 mai)
- Accompagnement des Établissements de Santé vers la Double Authentification (2FA) (publié le 2 juillet)
- Cybersécurité, épisode 1 : identification, authentification, autorisation ! (publié le 21 mai)
- Cybersécurité, épisode 2 : identification en santé, les référentiels (publié le 3 juin)
- Cybersécurité, épisode 3 : déployer les moyens d’identification sécurisée (publié le 9 juillet)
- Cybersécurité, épisode 4 : cadrage d’un projet d’authentification forte (publié le 2 août)
