Comment Okta aide un hôpital à protéger ses employés en sécurisant le télétravail

200 télétravailleurs

en connection sécurisée

4-5 heures

pour configurer Okta

3 options

de deuxième facteur MFA pour une authentification simple de l’utilisateur

  • Se préparer au télétravail
  • A la recherche d'une solution simple mais sécurisée
  • Une authentification forte à double facteur
  • Faire confiance aux systèmes d'accès à distance
  • Un exemple à suivre pour d'autres établissements médicaux
Se préparer au télétravail

Comme beaucoup d’établissements de santé, lorsque le confinement a été annoncé en mars 2020,  le Centre Hospitalier Saint Quentin n'était pas prêt d'un point de vue sécurité à déployer massivement des utilisateurs en télétravail. Dans le contexte d'un niveau élevé de cyberattaques, le CHSQ a cherché à mettre en place une authentification forte pour vérifier les identités de ses télétravailleurs, et assurer sa stratégie de sécurité à long terme.

A la recherche d'une solution simple mais sécurisée

Le service informatique a cherché une solution IAM qui pouvait s'adapter aux dispositifs personnels non gérés, ainsi qu'aux ordinateurs fournis par le CHSQ. La solution devait être simple pour les utilisateurs, facile à gérer et maintenir, et pouvoir s'intégrer nativement à l’infrastructure existante, qui utilise un VPN Palo Alto.

Une authentification forte à double facteur

Lorsque  les télétravailleurs se connectent, leur identité est vérifiée par l'Authentification Multi-Facteur utilisant un SMS, une application OTP, ou Okta Verify. Selon leur profil Active Directory, qui est intégré avec Universal Directory, le méta-annuaire universel d’Okta, les usagers sont alors connectés automatiquement par le bon canal.

Faire confiance aux systèmes d'accès à distance

Avec Okta, les télétravailleurs ont plus confiance dans les systèmes d'accès à distance du CHSQ. Le service informatique  a conscience que la connexion est bien sécurisée, et que les données sensibles font l’objet d’une protection avancée.

Un exemple à suivre pour d'autres établissements médicaux

Le CHSQ espère que son expérience pourra servir d'exemple à d'autres établissements médicaux confrontés au risque croissant des cyberattaques. La prochaine étape ? La sécurisation des accès de télémaintenance avec le MFA, et l'implémentation d'Okta dans d'autres établissements du Groupement Hospitalier de Territoire (GHT).

Nous cherchions une solution simple à utiliser. Nous ne voulions pas mettre en place trop de barrières, ce qui risquait de freiner la productivité. La solution devrait être efficace, mais facile pour nos équipes à gérer et à maintenir.

Jean-Baptiste Gard, Responsable Infrastructures, Réseaux & RSSI au Centre Hospitalier Saint Quentin (CHSQ)

Avantages

  • Vérification forte des identités des télétravailleurs par l'Authentification Multi-Facteur pour protéger les données hospitalières sensibles
  • Connection automatique des usagers par le bon canal, pour une expérience usager harmonieuse et sans barrières
  • Ajoute une couche de sécurité supplémentaire qui rassure des employés dans le contexte d'une hausse de cyber-attaques
  • Fournit une plateforme disponible à tout moment, pour que des professionnels puissent se connecter pour intervenir sur un dossier de jour comme de nuit

La confiance et la confidentialité sont des éléments indispensables de la relation médecin-patient, notamment en ce qui concerne les données des patients. Hors, les systèmes d'information des hôpitaux sont de plus en plus ciblés par des cyber-attaques. Selon l'ANSSI, une cyberattaque visant les systèmes informatiques d'un hôpital français a lieu toutes les semaines (mai 2020). C'est un problème que connaît bien Jean-Baptiste Gard, Responsable Infrastructures, Réseaux & RSSI au Centre Hospitalier Saint Quentin (CHSQ). "Depuis 2020, on a vu une augmentation nette des tentatives d'exploitation de vulnérabilités, ainsi qu'une explosion des campagnes de phishing," confirme-t-il. “En février 2021 beaucoup d’établissements de santé ont été la cible d’attaques de type ransomware."

Le Centre Hospitalier est situé à Saint-Quentin dans les Hauts de France et dispose d'environ 1 000 lits, mais c'est aussi un établissement support pour un groupement de onze établissements médicaux répartis dans les départements de l'Aisne et de la Somme, qui couvrent environ 400 000 habitants. Ce positionnement d’établissement de référence l’amène à assumer des missions structurantes, comme le pilotage des fonctions informatiques ou de formation.

Avant la pandémie, la plupart des 2 500 employés du CHSQ travaillaient sur place. Seul un petit nombre d'employés avait un accès à distance via un VPN, du fait du caractère sensible des données hospitalières. Mais quand le premier confinement a été annoncé en France en mars 2020, l'hôpital a dû se tourner vers le travail à distance lorsqu’il était envisageable, pour protéger le plus grand nombre d'individus possible.

"Nous avons étendu l'accès à distance à 150 employés supplémentaires, y compris des employés médicaux, administratifs et techniques," explique M. Gard. "Nous n'y étions pas prêts, d'un point de vue sécurité. Nos usagers n'y étaient pas habitués, et ils ne pouvaient pas accéder à tous les outils dont ils avaient besoin."

Avec un nombre insuffisant d'ordinateurs portables professionnels pour en fournir à tout le personnel en télétravail, le service informatique s'est décidé à chercher une solution IAM qui pouvait s'adapter aux dispositifs personnels non gérés, ainsi qu'aux ordinateurs fournis par le CHSQ. Dans le contexte d'un niveau élevé de cyberattaques, le CHSQ voulait aussi mettre en place une authentification forte pour vérifier les identités de ses télétravailleurs, et assurer sa stratégie de sécurité à long terme, qui prévoit l'implémentation de nouvelles applications cloud.

Une solution simple mais sécurisée, qui ne freine pas la productivité

Selon M. Gard, lors du choix d'une solution de gestion des identités et des accès, le CHSQ a voulu réconcilier la sécurité avec l'ergonomie pour les usagers. "On cherchait une solution simple à utiliser," développe-t-il. "Nous ne voulions pas mettre en place trop de barrières, ce qui risquait de freiner la productivité. La solution devrait être efficace, mais facile pour nos équipes à gérer et à maintenir."

Le CHSQ voulait aussi une plateforme qui pouvait s'intégrer avec l'infrastructure existante, qui utilisait déjà Palo Alto Networks GlobalProtect en tant que VPN. "Okta offre une intégration simplifiée avec Palo Alto, ce qui convient à nos besoins," explique le responsable. "Les deux solutions se complètent parfaitement : Okta vérifie l’identité et Palo Alto gère le contrôle d’intégrité et l’analyse sécurité."

Au cours de l'été 2020, avec un retour progressif de l’activité en présentiel mais dans la perspective d'un deuxième confinement et le retour au télétravail à l'automne, le CHSQ s'est préparé à déployer Okta. "On a choisi une intégration simple utilisant SAML," raconte M. Gard. L'équipe informatique a eu trois aspects à configurer : intégrer Okta avec les pare-feux de l'hôpital, puis installer un client LDAP sur les serveurs du CHSQ pour pouvoir se connecter à l'Active Directory, et enfin configurer la partie cloud Okta.

"La configuration Okta a pris entre quatre et cinq heures, pour faire tous les tests nécessaires et tout installer," commente le Responsable Infrastructures, Réseaux & RSSI du Centre Hospitalier. "Nous n'avons pas rencontré de problèmes, le processus était simple et rapide." En septembre, le service informatique a migré 200 usagers vers le nouveau système, et ils ont commencé à utiliser l‘Authentification Multi-Facteur (MFA) pour y accéder. "Notre équipe a pu simplement mettre notre POC en production, nous n'avons pas dû recommencer l'intégration de zéro."

Le retour au télétravail pour 200 usagers, cette fois réussi

Avec Okta déjà en place, quand le deuxième confinement a été annoncé, l'équipe du CHSQ était prête. "Quand le prochain confinement a été annoncé en octobre 2020, 200 de nos usagers ont repris le télétravail," déclare M. Gard. "Cette fois, tout s'est bien passé."

Les connexions des usagers du CHSQ travaillant à distance sont authentifiées par Okta, qui est intégré avec le VPN Palo Alto GlobalProtect du CHSQ et avec Citrix VDI. Le VDI est utilisé par les usagers connectés sur des dispositifs personnels, et plus particulièrement par ceux qui ont besoin d'accéder aux applications qui ne peuvent pas être exécutées à distance pour des raisons de latence.

Selon leur profil Active Directory, qui est intégré avec Universal Directory d’Okta, les usagers sont connectés automatiquement par le bon canal. Ils peuvent alors accéder aux applications dont ils ont besoin, selon leur niveau d'accès. Pour une authentification forte, le CHSQ offre trois options de deuxième facteur pour l‘Authentification multi-facteur (MFA) : le SMS, l'application mobile Okta Verify, ainsi qu'une autre application OTP (Google Auth), pour donner plus de choix aux usagers.

"Quand nos personnels ouvrent leurs ordinateurs le matin, que ce soit un ordinateur de l'établissement ou un dispositif privé, ils cliquent sur le bouton de connexion dans la fenêtre de dialogue," explique M. Gard. "Après avoir fourni leur mot de passe et un deuxième facteur selon leur choix, la connexion est vérifiée et ils ont accès à leurs outils. C'est simple pour eux, et de notre côté, nous sommes rassurés que la connexion soit sécurisée."

Se connecter avec confiance, pendant et après le confinement

Cette deuxième fois, la plus grande différence selon Jean-Baptiste Gard est l'expérience quotidienne des télétravailleurs. "Depuis l'implémentation d'Okta, nos télétravailleurs ont plus confiance dans nos systèmes d'accès à distance," explique-t-il. "Les risques de sécurité rencontrés quotidiennement apportent un certain niveau d'anxiété. Okta les rassure."

Un autre bénéfice, c'est que la plateforme Okta est toujours disponible. "À tout moment, de jour comme de nuit, un professionnel peut se connecter pour intervenir sur un dossier," dit M. Gard. "Par exemple, certains médecins ont la possibilité de se connecter de chez eux de manière sécurisée, et d’alimenter des dossiers patients à distance. En outre, nous n'avons eu aucune interruption de service, ce qui est très important pour assurer la continuité des services auprès de nos patients."

La prochaine étape ? La sécurisation des accès de télémaintenance avec MFA. Il y a à peu près 200 sociétés qui travaillent à distance sur le système d'information du CHSQ pour installer des applications, les maintenir ou les mettre à jour. En ajoutant un facteur supplémentaire dans le processus, le service informatique pourra s’assurer automatiquement de l'origine de ces connexions et se prémunir de tentatives de compromissions. Après cette étape, le prochain chantier sera l'implémentation d'Okta dans d'autres établissements du Groupement Hospitalier de Territoire (GHT).

"J'espère que notre expérience aidera nos confrères dans d'autres établissements médicaux," déclare M. Gard. "Dans le contexte d'une hausse de cyber-attaques, nous sommes vraiment convaincus par le produit : Okta apporte une couche de sécurité supplémentaire qui est indispensable, et qui fait une grande différence aux yeux de nos télétravailleurs."