Centre Hospitalier Saint Quentin : Comment Okta aide un hôpital à protéger ses employés en sécurisant le télétravail

La confiance et la confidentialité sont des éléments indispensables de la relation médecin-patient, notamment en ce qui concerne les données des patients. Hors, les systèmes d'information des hôpitaux sont de plus en plus ciblés par des cyber-attaques. Selon l'ANSSI, une cyberattaque visant les systèmes informatiques d'un hôpital français a lieu toutes les semaines (mai 2020). C'est un problème que connaît bien Jean-Baptiste Gard, Responsable Infrastructures, Réseaux & RSSI au Centre Hospitalier Saint Quentin (CHSQ). "Depuis 2020, on a vu une augmentation nette des tentatives d'exploitation de vulnérabilités, ainsi qu'une explosion des campagnes de phishing," confirme-t-il. “En février 2021 beaucoup d’établissements de santé ont été la cible d’attaques de type ransomware."

Le Centre Hospitalier est situé à Saint-Quentin dans les Hauts de France et dispose d'environ 1 000 lits, mais c'est aussi un établissement support pour un groupement de onze établissements médicaux répartis dans les départements de l'Aisne et de la Somme, qui couvrent environ 400 000 habitants. Ce positionnement d’établissement de référence l’amène à assumer des missions structurantes, comme le pilotage des fonctions informatiques ou de formation.

Avant la pandémie, la plupart des 2 500 employés du CHSQ travaillaient sur place. Seul un petit nombre d'employés avait un accès à distance via un VPN, du fait du caractère sensible des données hospitalières. Mais quand le premier confinement a été annoncé en France en mars 2020, l'hôpital a dû se tourner vers le travail à distance lorsqu’il était envisageable, pour protéger le plus grand nombre d'individus possible.

"Nous avons étendu l'accès à distance à 150 employés supplémentaires, y compris des employés médicaux, administratifs et techniques," explique M. Gard. "Nous n'y étions pas prêts, d'un point de vue sécurité. Nos usagers n'y étaient pas habitués, et ils ne pouvaient pas accéder à tous les outils dont ils avaient besoin."

Avec un nombre insuffisant d'ordinateurs portables professionnels pour en fournir à tout le personnel en télétravail, le service informatique s'est décidé à chercher une solution IAM qui pouvait s'adapter aux dispositifs personnels non gérés, ainsi qu'aux ordinateurs fournis par le CHSQ. Dans le contexte d'un niveau élevé de cyberattaques, le CHSQ voulait aussi mettre en place une authentification forte pour vérifier les identités de ses télétravailleurs, et assurer sa stratégie de sécurité à long terme, qui prévoit l'implémentation de nouvelles applications cloud.

Une solution simple mais sécurisée, qui ne freine pas la productivité

Selon M. Gard, lors du choix d'une solution de gestion des identités et des accès, le CHSQ a voulu réconcilier la sécurité avec l'ergonomie pour les usagers. "On cherchait une solution simple à utiliser," développe-t-il. "Nous ne voulions pas mettre en place trop de barrières, ce qui risquait de freiner la productivité. La solution devrait être efficace, mais facile pour nos équipes à gérer et à maintenir."

Le CHSQ voulait aussi une plateforme qui pouvait s'intégrer avec l'infrastructure existante, qui utilisait déjà Palo Alto Networks GlobalProtect en tant que VPN. "Okta offre une intégration simplifiée avec Palo Alto, ce qui convient à nos besoins," explique le responsable. "Les deux solutions se complètent parfaitement : Okta vérifie l’identité et Palo Alto gère le contrôle d’intégrité et l’analyse sécurité."

Au cours de l'été 2020, avec un retour progressif de l’activité en présentiel mais dans la perspective d'un deuxième confinement et le retour au télétravail à l'automne, le CHSQ s'est préparé à déployer Okta. "On a choisi une intégration simple utilisant SAML," raconte M. Gard. L'équipe informatique a eu trois aspects à configurer : intégrer Okta avec les pare-feux de l'hôpital, puis installer un client LDAP sur les serveurs du CHSQ pour pouvoir se connecter à l'Active Directory, et enfin configurer la partie cloud Okta.

"La configuration Okta a pris entre quatre et cinq heures, pour faire tous les tests nécessaires et tout installer," commente le Responsable Infrastructures, Réseaux & RSSI du Centre Hospitalier. "Nous n'avons pas rencontré de problèmes, le processus était simple et rapide." En septembre, le service informatique a migré 200 usagers vers le nouveau système, et ils ont commencé à utiliser l‘Authentification Multi-Facteur (MFA) pour y accéder. "Notre équipe a pu simplement mettre notre POC en production, nous n'avons pas dû recommencer l'intégration de zéro."

Le retour au télétravail pour 200 usagers, cette fois réussi

Avec Okta déjà en place, quand le deuxième confinement a été annoncé, l'équipe du CHSQ était prête. "Quand le prochain confinement a été annoncé en octobre 2020, 200 de nos usagers ont repris le télétravail," déclare M. Gard. "Cette fois, tout s'est bien passé."

Les connexions des usagers du CHSQ travaillant à distance sont authentifiées par Okta, qui est intégré avec le VPN Palo Alto GlobalProtect du CHSQ et avec Citrix VDI. Le VDI est utilisé par les usagers connectés sur des dispositifs personnels, et plus particulièrement par ceux qui ont besoin d'accéder aux applications qui ne peuvent pas être exécutées à distance pour des raisons de latence.

Selon leur profil Active Directory, qui est intégré avec Universal Directory d’Okta, les usagers sont connectés automatiquement par le bon canal. Ils peuvent alors accéder aux applications dont ils ont besoin, selon leur niveau d'accès. Pour une authentification forte, le CHSQ offre trois options de deuxième facteur pour l‘Authentification multi-facteur (MFA) : le SMS, l'application mobile Okta Verify, ainsi qu'une autre application OTP (Google Auth), pour donner plus de choix aux usagers.

"Quand nos personnels ouvrent leurs ordinateurs le matin, que ce soit un ordinateur de l'établissement ou un dispositif privé, ils cliquent sur le bouton de connexion dans la fenêtre de dialogue," explique M. Gard. "Après avoir fourni leur mot de passe et un deuxième facteur selon leur choix, la connexion est vérifiée et ils ont accès à leurs outils. C'est simple pour eux, et de notre côté, nous sommes rassurés que la connexion soit sécurisée."

Se connecter avec confiance, pendant et après le confinement

Cette deuxième fois, la plus grande différence selon Jean-Baptiste Gard est l'expérience quotidienne des télétravailleurs. "Depuis l'implémentation d'Okta, nos télétravailleurs ont plus confiance dans nos systèmes d'accès à distance," explique-t-il. "Les risques de sécurité rencontrés quotidiennement apportent un certain niveau d'anxiété. Okta les rassure."

Un autre bénéfice, c'est que la plateforme Okta est toujours disponible. "À tout moment, de jour comme de nuit, un professionnel peut se connecter pour intervenir sur un dossier," dit M. Gard. "Par exemple, certains médecins ont la possibilité de se connecter de chez eux de manière sécurisée, et d’alimenter des dossiers patients à distance. En outre, nous n'avons eu aucune interruption de service, ce qui est très important pour assurer la continuité des services auprès de nos patients."

La prochaine étape ? La sécurisation des accès de télémaintenance avec MFA. Il y a à peu près 200 sociétés qui travaillent à distance sur le système d'information du CHSQ pour installer des applications, les maintenir ou les mettre à jour. En ajoutant un facteur supplémentaire dans le processus, le service informatique pourra s’assurer automatiquement de l'origine de ces connexions et se prémunir de tentatives de compromissions. Après cette étape, le prochain chantier sera l'implémentation d'Okta dans d'autres établissements du Groupement Hospitalier de Territoire (GHT).

"J'espère que notre expérience aidera nos confrères dans d'autres établissements médicaux," déclare M. Gard. "Dans le contexte d'une hausse de cyber-attaques, nous sommes vraiment convaincus par le produit : Okta apporte une couche de sécurité supplémentaire qui est indispensable, et qui fait une grande différence aux yeux de nos télétravailleurs."