Systancia, un éditeur de solutions de cybersécurité, a accompagné en 2021 le Groupement Hospitalier de Territoire (GHT) Grand Paris Nord-Est dans la sécurisation des accès distants de ses 7000 utilisateurs (personnels et prestataires).
Les logiciels Systancia Workroom (ZTNA) et Systancia Cleanroom (PAM) ont été déployés dans ses trois établissements de santé (Aulnay-sous-Bois, Raincy-Montfermeil et Montreuil). L’équipe DSI du GHT se compose de 60 personnes et gère plus de 200 applications hétérogènes utilisées quotidiennement par les collaborateurs et prestataires sur place et à distance.
“Les solutions de ZTNA et de PAM en services cloud de Systancia nous permettent de répondre à nos deux enjeux : sécuriser l’accès des télétravailleurs à partir de leurs postes personnels en appliquant le principe de moindre privilège, et surveiller les actions des prestataires grâce à l’enregistrement et l’archivage des sessions d’administration”, explique Zehair Benamar, chef de projet infrastructures du Groupement Hospitalier de Territoire Grand Paris Nord-Est.
Sécuriser les accès distants alors que les attaques contre les établissements de santé se multiplient
Dans un contexte de crise sanitaire et de mode de travail hybride, les déclarations d’incidents de sécurité informatique au sein d’établissements de santé ont subi une hausse de 80% sur la période de janvier à septembre 2021 (source CERT Santé).
Dès août 2019, le Groupement Hospitalier de Territoire Grand Paris Nord-Est a anticipé les besoins d’accès à distance de ses équipes et de ses partenaires. Le GHT a confié à Systancia le soin de mettre en place des solutions adaptées, ce qui a permis aux collaborateurs de travailler en toute confiance et en toute sécurité depuis chez eux au cours des différentes périodes de confinement.
Après une phase de test de deux mois, les logiciels de ZTNA (Zero Trust Network Access) et de PAM (Privileged Access Management) en mode Saas de Systancia ont été retenus :
– Workroom Session Service (ZTNA) permet de sécuriser les accès des utilisateurs en situation de télétravail, notamment en mettant en œuvre le principe de moindre privilège, c’est-à-dire en ne permettant l’accès qu’aux seules ressources auxquelles l’utilisateur a le droit d’accéder.
– Cleanroom Session Service (PAM) permet de définir pour les prestataires du GHT des accès d’administration à des ressources en contrôlant les comptes utilisés pour l’authentification sur la ressource et en traçant finement toutes les actions réalisées.
“Les utilisateurs passent par le RDP HTML5 et se connectent avec leur login et mot de passe pour accéder à leur session comme s’ils étaient au bureau. Le personnel a apprécié la facilité d’utilisation de la solution qu’ils ont jugée très intuitive. Le glissement vers les solutions Systancia s’est fait de façon facile et transparente pour les utilisateurs ; il leur a suffit d’utiliser leurs comptes habituels qui leur servaient auparavant pour un accès via VPN”, explique Zehair Benamar.
Une gestion des droits d’accès aux ressources efficace
Grâce à Systancia Workroom Session Service, un médecin et un agent administratif n’auront pas accès aux mêmes ressources. Chacun accède uniquement aux ressources et applications qui leur sont nécessaires dans le cadre de leurs missions. Par ailleurs, le ZTNA permet aussi un contrôle de conformité du poste accédant au système d’information du GHT en vérifiant notamment la santé du terminal (présence d’un antivirus, dernières mises à jour de sécurité activées, etc.) ou encore le lieu ou l’heure de connexion pour interdire ou limiter l’accès en fonction de la confiance donnée à l’utilisateur ou au poste de travail.
Ces apports du ZTNA en termes de sécurité, de même que l’accès HTML5 qui permet de ne pas installer d’agent sur le poste de travail, a aussi rendu possible des accès distants aux ressources et applications choisies du système d’information par des postes de travail personnels des utilisateurs, sans pour autant faire peser de risque sur la sécurité du système d’information du GHT.
Des interventions de prestataires enregistrées et archivées
Pour Joël Trutaud, administrateur des systèmes et réseaux au sein du GHT GPNE, “L’enregistrement et l’archivage des interventions des prestataires est, avec le coffre-fort de mots de passe, l’une des fonctionnalités clés de Systancia Cleanroom Session Service”. La solution permet d’enregistrer l’ensemble des actions des prestataires, de les voir en temps réel et de les archiver. Cette dernière option permet ensuite, en cas de besoin, de faire des recherches précises sur l’ensemble des sessions enregistrées pour retrouver l’origine et le contexte d’une modification. Le coffre-fort de mot de passe évite quant à lui de donner aux prestataires les mots de passe pour accéder aux serveurs du GHT.
Une simplicité du cloud qui apporte rapidité et flexibilité
Si le GHT GPNE a choisi les solutions de ZTNA et de PAM de Systancia en Saas plutôt que sur site, c’est avant tout pour la simplicité qu’apporte le cloud. Les équipes de la DSI ont pu déployer les services rapidement sans avoir de serveur supplémentaire à installer et à gérer. Le GHT a une Gateway par site (pour chacun des trois hôpitaux) pour se connecter sur le serveur de médiation managé par Systancia. Cela permet à la DSI d’éviter une charge substantielle de travail en termes de gestion de l’infrastructure.
“La simplicité apportée par le cloud nous a permis d’activer très rapidement les solutions et nous libère d’une charge de gestion puisqu’elles sont managées par Systancia. Facile d’utilisation, ces solutions ont facilement été adoptées par les collaborateurs et prestataires qui peuvent ainsi avoir accès à leurs fichiers et applications à distance en toute sécurité”, conclut Zehair Benamar.
Le GHT Grand Paris Nord-Est (GPNE) est un groupement des hôpitaux d’Aulnay-sous-Bois, du Raincy-Montfermeil et de Montreuil, né de la loi de modernisation du système de santé du 26 janvier 2016, visant notamment à une mutualisation des ressources des hôpitaux regroupés au sein d’un même GHT (Groupement Hospitalier de Territoire). Au sein de la DSI, un projet de convergence des systèmes d’information a été mené avec pour objectif d’avoir, in fine, un système d’information commun, avec une équipe commune aux 3 hôpitaux. Cette nouvelle DSI, composée de 60 personnes, gère aujourd’hui plus de 200 applications hétérogènes utilisées quotidiennement par environ 7 000 utilisateurs (entre 2 300 et 2 500 par hôpital) sur des clients lourds et clients légers.