Assurer une authentification forte en GHT grâce au SSO

La constitution des Groupements Hospitaliers de Territoire (GHT) permettra d’uniformiser les pratiques des professionnels de tous les établissements qui le constituent.

Parole d'expert : assurer une authentification forte en GHT grâce au SSO

Sébastien Wetter, Responsable de l’offre Sécurité pour Enovacom, voit le SSO (Single Sign On) comme l’outil de choix pour assurer une authentification forte et unique pour l’accès aux solutions métiers de ces structures mutualisées.

Quels sont les principes phares du Single Sign On et ses apports pour les acteurs hospitaliers ?

Le SSO est un outil destiné à simplifier la vie des professionnels de santé dans leur utilisation des Systèmes d’Information au quotidien. Ces derniers sont appelés à s’authentifier auprès d’une dizaine de logiciels en moyenne chaque jour et le font en renseignant un mot de passe différent à chaque fois, ce qui est très chronophage au final. Grâce au SSO, ils n’ont plus qu’un mot de passe à taper, par exemple pour accéder à leur session Windows, et leur authentification est dès lors automatisée à l’entrée des solutions métier auxquelles ils doivent se connecter. Un urgentiste avec lequel je conversais récemment me disait qu’il n’avait que quinze minutes à consacrer à un patient, temps pendant lequel il passe onze minutes sur son ordinateur. Dans ce cas typique comme dans beaucoup d’autres, le SSO peut lui faire dégager du temps pour mieux prendre en charge ses patients.

Quelles sont les autres plus-values de la mise en place d’un SSO en établissement de soins ?

Une plus-value essentielle est la sécurisation des connections des utilisateurs. La prolifération des mots de passe a entrainé, ces dernières années, une simplification de ces derniers, par manque de rigueur ou par peur de les oublier notamment. Or, chacun sait qu’un mot de passe trop simple est facilement identifiable ou sujet à piratages. Par ailleurs, de nombreux cas d’usurpation d’identité ont été rapportés, soit par divulgation volontaire d’un professionnel à l’autre, soit en cas de non verrouillage d’un poste, soit enfin par vol d’informations. Cela porte une atteinte grave à la sécurité des données de santé si le bénéficiaire de cette usurpation n’a pas les droits suffisants pour consulter, voire modifier ces données. Ce type de problèmes disparaît avec l’arrivée du SSO. Le professionnel s’authentifie désormais avec sa carte CPS et en renseignant un mot de passe plus compliqué à mémoriser, mais unique pour toutes les applications

La législation incite-t-elle les établissements de santé à acquérir des outils de SSO ?

Le Décret du 15 mai 2007 relatif à la confidentialité des informations médicales conservées sur support informatique ou transmises par voie électronique et modifiant le code de la santé publique, est à l’origine de cette tendance. Mais ce sont plutôt les recommandations émanant d’institutions comme l’ASIP Santé ou la HAS qui font référence aujourd’hui. Ainsi, il est stipulé dans Hôpital Numérique une obligation d’authentification personnelle sécurisée afin de préserver la confidentialité des données de santé. De la même façon, le PGSSIS demande une authentification forte pour l’accès aux logiciels de santé.

En quoi un SSO est-il pertinent dans l’organisation d’un GHT ?

Dans ce contexte, un SSO permet une centralisation des authentifications des professionnels de l’ensemble du GHT. Cela harmonise leurs pratiques d’accès à tous les postes de travail de la structure et apporte de la cohérence à la politique de sécurité d’une DSI mutualisée ayant au préalable assurée une gestion des identités précise de l’ensemble des acteurs. D’autre part, dans le cas où les professionnels sont appelés à exercer au sein de différents établissements du GHT, ils n’ont pas à changer de mode d’authentification. Mais nous allons plus loin chez Enovacom, avec la mise en service d’un eSSO. Ce portail donne la possibilité aux professionnels de s’authentifier depuis l’extérieur de l’hôpital avec une authentification forte, par leur carte CPS par exemple.

Le CH de Montluçon a fait le choix de mettre en place le service eSSO. Quelles ont été ses motivations ?

Cet établissement est en déficit de médecins et ces derniers sont très impliqués dans la vie et le fonctionnement de l’hôpital. Ils étaient contraints de rester tard le soir pour mener à bien leur mission et nous ont demandés s’il existait une solution à partir de laquelle ils pourraient travailler de chez eux pour certaines tâches. Le eSSO est très intéressant pour ceux qui souhaitent suivre leurs patients depuis leur domicile ou leur cabinet, ceux qui exercent en HAD (Hospitalisation à Domicile) ou tout simplement dans leurs usages mobiles. Nous avons, pour cela, renforcé les critères d’accessibilité afin de sécuriser ces usages mobiles, en cohérence avec les exigences des tutelles. La prochaine étape sera vraisemblablement un portail patient de même type.
>> Lire le cas client

A téléchargerLivret SSO sur l’authentification forte et la sécurisation des accès PDF – 15 pages