Le CHU de Nantes remet à plat sa gestion des identités avec Evidian
Lors de l’édition 2011 des Assises de la Sécurité, qui s’est déroulée début octobre à Monaco, le responsable de la sécurité du système d’information du CHU de Nantes est revenu sur son projet de déploiement de système de gestion des identités et des accès. Un projet à forte composante organisationnelle qui avance avec prudence mais remporte déjà l’adhésion des premiers utilisateurs.
Le projet s’appelle Gaïa, pour Gestion d’annuaire des identités et des accès et a concrètement démarré en 2010. Cédric Cartau, responsable de la sécurité du système d’information (RSSI) du CHU de Nantes, explique qu’il consiste en «une remise à plat complète de toute la gestion des identités ». Ce qui est d’ailleurs, pour lui, «l’un des objectifs majeurs d’un projet IAM (Identity and Access Management, gestion des identités et des accès) ». De fait, pour le CHU, il s’agit notamment de gérer identités et accès en tenant compte des liens contractuels des personnes avec l’hôpital, un premier point «très compliqué pour un CHU ». Son objectif est également de simplifier le travail, au quotidien, des utilisateurs : chacun utilise six à huit applications, avec autant de mots de passe à ajouter à celui des sessions Windows, des accès au Webmail, etc. Là, «l’idée est qu’il n’y ait plus qu’un seul code PIN à retenir» pour le tout, du Single Sign-On (SSO). Avec même la perspective d’étendre les usages liés aux cartes d’accès au service de restauration interne et aux locaux.
Initialement, le projet porte sur «20 applications majeures, pour 12 000 utilisateurs et 2 000 tiers - des personnes qui viennent manger au CHU, celles qui sont sous convention de recherche, les fournisseurs, etc ». Cédric Cartau donne une idée de l’ampleur d’un projet «plus organisationnel que technique» : au total, cinq directions du CHU sont impliquées, dans la DRH, la direction des affaires médicales, des finances, etc. C’est la DRH qui doit assurer la maîtrise d’ouvrage. Quatre équivalents temps plein (ETP) sont mobilisés pour cela; un pour chaque direction concernée. La RSSI intervient en assistance à maîtrise d’ouvrage; la DSI assure, avec 5 ETP, la maîtrise d’oeuvre.
C’est la solution d’Evidian qui a été retenue, avec sa maison mère Bull pour l’intégration. Le RSSI du CHU de Nantes explique que le choix a été long, avec «les soutenances des candidats et la présentation de maquettes pour valider les questions d’ergonomie telles que le SSO, le changement rapide de contexte utilisateurs, etc.» Mais l’expérience de l’intégrateur a également pesé sur le choix - «je n’aime pas être le premier dans ce genre de cas », explique Cédric Cartau. Et de souligner aussi que Bull/Evidian a, selon lui, une «vraie stratégie dans le monde la santé », par opposition à deux autres (grands) éditeurs «qu’on ne voit jamais dans le monde de la santé ». En outre, Bull proposait une structure de projet pilotée par ses soins «avec ses personnels sur site - j’ai des gens à qui m’adresser quand j’ai un souci ».
Un lourd changement organisationnel
Le premier bénéfice attendu - la remise à plat de la gestion des identités - est au rendez-vous, alors même que le projet est encore en phase pilote : «par exemple, dans le courrier électronique, on a trouvé des comptes de personnes décédées qui reçoivent encore des messages et qui sont transférés. On a même trouvé quelqu’un qui consulte la messagerie Gmail d’un collègue décédé.» Pourtant, aborder cette question n’était pas simple : «historiquement, ceux qui ont accès sont ceux qui sont payés par l’organisation; là on s’intéresse aux personnes qui ont un lien contractuel avec le CHU.»
Pour autant, Cédric Cartau n’attend pas de retour sur investissement financier à ce projet : «dans le meilleur des cas, on rentre dans nos fonds. Mais le retour sur investissement qualitatif est indéniable. Les utilisateurs sont très satisfaits. On pourrait couper les cheveux en quatre et compter le temps gagné par chacun au quotidien, mais cela n’a pas de sens. Une chose est sûre, et tous les collègues le disent : une fois la carte déployée, les agents ne veulent pas revenir en arrière.» En outre, le système d’IAM permet d’améliorer la confidentialité des données : «nous sommes sûrs que seules les personnes ayant vraiment une relation contractuelle avec le CHU ont accès au SI.» Sur les postes : la mise en place du SSO sera associée à une fonction de délégation qui permettra de prêter son accès, si l'on a oublié sa carte ou ne l’a pas encore, par exemple, «durant un temps court mais tracé ».
Et puis s’ajoute à cela une mobilité des personnels améliorées, et de grandes perspectives : «infrastructure à clé publique, 802.1x, signature administrative - pratique pour éviter les déplacements pour signature sur demande d’hospitalisation par tiers ».
Une phase pilote réussie...
Pour l’heure, même si la réussite est là, Cédric Cartau n’envisage pas tout de suite de généralisation : cela attendra que «tout soit bétonné sur les pilotes. Cela prendra le temps que cela prendra. L’urgence est souvent inutile et toujours dangereuse », explique-t-il, en soulignant la complexité du projet. D’ailleurs, même la maîtrise d’ouvrage s’est attachée à balayer finement les cas d’usages, «on ne passe jamais assez de temps à balayer les cas marginaux à côté desquels il est facile de passer ». Mais, si pour l’heure, le projet avance bien, c’est d’abord, selon le RSSI, grâce à une «maîtrise d’ouvrage portée par une direction fonctionnelle ». Mais aussi grâce à une «gestion rigoureuse des comités de pilotage et de la documentation - les volumes sont importants et entraînent une forte codification », sans compter « l’instruction des questions organisationnelles ou techniques avant sollicitation des décideurs ».
...mais encore des interrogations
Toutes les interrogations n’ont toutefois pas encore été levées. A commencer par la transition : «que va-t-il se passer pour quelqu’un qui circule entre un domaine équipé et un qui ne l’est pas ? Ou encore sur certaines applications non basculées ? On fait beaucoup de découvertes au fil de l’eau.» La multiplicité des catégories d’utilisateurs et le fait qu’il y ait deux directions du personnel - DRH et direction des affaires médicales - ne simplifie pas le projet : «qui va saisir les identités ? Après un an et demi, ce n’est pas encore tranché pour tout le monde, à commencer par les stagiaires.» Il y a également la gestion des habilitations : «pour la gestion des rendez-vous, par exemple, il y a quasiment autant de profils que d’utilisateurs...» Enfin, la gestion de la durée de vie des cartes d’identification : «trois ans environ. Qui gère les renouvellements ? On a pensé aux services techniques, à la DRH... ça a fini à la DSI.»