Le Groupement Hospitalier de Territoire Grand Paris Nord-Est a choisi les solutions Workroom et Cleanroom de Systancia, éditeur de solutions de cybersécurité, pour sécuriser les accès distants de ses télétravailleurs et prestataires
Dans un contexte de crise sanitaire et de mode de travail hybride, les déclarations d’incidents de sécurité informatique au sein d’établissements de santé ont subi une hausse de 80 % sur la période de janvier à septembre 2021 (source CERT Santé, Computer Emergency Response Team).
Dès août 2019, le Groupement Hospitalier de Territoire Grand Paris Nord-Est a anticipé les besoins d’accès à distance de ses équipes et de ses partenaires, soit 7 000 personnes. Après une phase de POC de deux mois, les solutions de ZTNA (Zero Trust Network Access) et de PAM (Privileged Access Management) en services cloud de Systancia ont été retenues et déployées au sein des trois établissements de santé d’Aulnay-sous-Bois, Raincy-Montfermeil et Montreuil.
La première solution permet de sécuriser les accès des utilisateurs en situation de télétravail, notamment en mettant en œuvre le principe de moindre privilège, c’est-à-dire en ne permettant l’accès qu’aux seules ressources auxquelles l’utilisateur a le droit d’accéder.
La seconde permet de définir pour les prestataires du GHT des accès d’administration à des ressources en contrôlant les comptes utilisés pour l’authentification sur la ressource et en traçant finement toutes les actions réalisées.
“Les utilisateurs passent par le RDP HTML5 et se connectent avec leur login et mot de passe pour accéder à leur session comme s’ils étaient au bureau. Le personnel a apprécié la facilité d’utilisation de la solution qu’ils ont jugée très intuitive. Le glissement vers les solutions Systancia s’est fait de façon facile et transparente pour les utilisateurs. Il leur a suffit d’utiliser leurs comptes habituels qui leur servaient auparavant pour un accès via VPN”, explique Zehair Benamar, chef de projet infrastructures du Groupement Hospitalier de Territoire Grand Paris Nord-Est.
La gestion des droits d’accès aux ressources
Systancia Workroom Session Service permet de mettre en œuvre la politique de moindre privilège (Zero Trust) en adaptant les droits donnés aux utilisateurs en fonction de leurs profils respectifs : un médecin et un agent administratif n’auront ainsi pas accès aux mêmes ressources. Chacun accède uniquement aux ressources et applications qui leur sont nécessaires dans le cadre de leurs missions.
Par ailleurs, le ZTNA permet aussi un contrôle de conformité du poste accédant au système d’information du GHT en vérifiant notamment la santé du terminal (présence d’un antivirus, dernières mises à jour de sécurité activées, etc.) ou encore le lieu ou l’heure de connexion pour interdire ou limiter l’accès en fonction de la confiance donnée à l’utilisateur ou au poste de travail.
Ces apports du ZTNA en termes de sécurité, de même que l’accès HTML5 qui permet de ne pas installer d’agent sur le poste de travail, a aussi rendu possible des accès distants aux ressources et applications choisies du système d’information par des postes de travail personnels des utilisateurs, sans pour autant faire peser de risque sur la sécurité du système d’information du GHT.
Des interventions de prestataires enregistrées et archivées
Pour Joël Trutaud, administrateur des systèmes et réseaux au sein du GHT GPNE, “L’enregistrement et l’archivage des interventions des prestataires est, avec le coffre-fort de mots de passe, l’une des fonctionnalités clés de Systancia Cleanroom Session Service”. La solution permet d’enregistrer l’ensemble des actions des prestataires, de les voir en temps réel et de les archiver. Cette dernière option permet ensuite, en cas de besoin, de faire des recherches précises sur l’ensemble des sessions enregistrées pour retrouver l’origine et le contexte d’une modification. Le coffre-fort de mot de passe évite quant à lui de donner aux prestataires les mots de passe pour accéder aux serveurs du GHT.
“Les solutions de ZTNA et de PAM en services cloud de Systancia nous permettent de répondre à nos deux enjeux : sécuriser l’accès des télétravailleurs à partir de leurs postes personnels en appliquant le principe de moindre privilège, et surveiller les actions des prestataires grâce à l’enregistrement et l’archivage des sessions d’administration”
La simplicité du Cloud…
Si le GHT GPNE a choisi les solutions de ZTNA et de PAM de Systancia en services cloud plutôt qu’en produits on-premise, c’est avant tout pour la simplicité qu’apporte le Cloud. Les équipes de la DSI, 60 personnes en tout, ont pu déployer les services rapidement sans avoir de serveur supplémentaire à installer et à gérer. Le GHT a une gateway par site (pour chacun des trois hôpitaux) pour se connecter sur le serveur de médiation managé par Systancia. Cela permet à la DSI d’éviter une charge substantielle de travail en termes de gestion de l’infrastructure. “La simplicité apportée par le Cloud nous a permis d’activer très rapidement les solutions et nous libère d’une charge de gestion puisqu’elles sont managées par Systancia. Facile d’utilisation, ces solutions ont facilement été adoptées par les collaborateurs et prestataires qui peuvent ainsi avoir accès à leurs fichiers et applications à distance en toute sécurité”, conclut Zehair Benamar.