Gestion des accès à privilèges et certification HDS – CHU de Montpellier
PROVE IT, LA SOLUTION DE RUBYCAT, MISE EN PLACE AU CHU DE MONTPELLIER
Établissement support du Groupement Hospitalier de Territoire (GHT) Est Hérault Sud Aveyron – qui regroupe 8 autres structures de soins –, le CHU de Montpellier a retenu PROVE IT, la solution de gestion des accès à privilèges (PAM) de Rubycat, qui permet un maintien opérationnel sur site pour assurer la continuité des soins, tout en répondant aux exigences de sécurité. Le point avec Vincent Templier, RSSI et DPO du GHT, qui travaille étroitement avec le DSI du CHU et son équipe d’une soixantaine de personnes.
Quelles sont les spécificités du SIH du CHU de Montpellier ?
Vincent Templier : Celui-ci regroupe un ensemble de composantes importantes, allant du SI administratif classique qui va ici concerner les dossiers patients, jusqu’au SI industriel avec les problématiques d’électricité ou d’eau, en passant par des SI plus spécifiques liés à l’imagerie médicale ou au laboratoire. Le SI d’administration est la part émergée de l’iceberg. On connaît la sensibilité des données patients et l’importance de leur sécurisation, mais la continuité des soins ne peut être assurée que si nous prenons en compte l’importance de chacune de ces briques. C’est pourquoi, pour continuer à progresser sur le volet Sécurité, nous avons décidé de passer la certification Hébergement des Données de Santé (HDS). À ce titre, nous devions mettre en place une solution de traçabilité et de sécurisation des accès à distance notamment dans le cadre de la télémaintenance.
Combien d’éditeurs ont besoin de se connecter à votre SIH ?
Avec près de 1 000 ans d’histoire, le CHU de Montpellier est une structure importante. Il regroupe notamment 5 établissements principaux, fédère 10 000 agents, et compte chaque année 120 000 passages aux urgences, 290 000 hospitalisations, 550 000 consultations… Je ne saurais vous dire combien d’éditeurs ont aujourd’hui accès au SIH, mais déjà sur la partie SI d’administration, ils sont aux alentours de 200. Ce sont pour nous des partenaires de confiance. Mais la confiance n’empêchant pas le contrôle, nous avons travaillé sur leurs accès.
Comment avez-vous connu la solution de Rubycat ?
J’avais précédemment eu l’occasion de mettre en place la solution PROVE IT de Rubycat au CH de Perpignan. Outre cette première expérience réussie, nous avons tout de même pris le temps de benchmarker les solutions existantes. Celle de Rubycat est une fois de plus sortie du lot et a donc été retenue.
Sur quels critères s’est basé votre choix ?
J’évoquerai notamment la facilité et la rapidité de sa mise en œuvre, la possibilité de disposer d’une traçabilité avec visualisation – il ne s’agit pas seulement de savoir qui s’est connecté et quand, mais bien de pouvoir revisualiser l’ensemble des opérations effectuées lors de la télémaintenance –, et enfin le rapport qualité-prix. Notre seul bémol avait trait au nombre de protocoles supportés. Mais cet obstacle a été facilement surmonté : nous avons mis en place des machines intermédiaires de rebond, avec les outils ad hoc à disposition, qui fonctionnent très bien, et nous savons que la solution évolue et s’enrichit en permanence en fonction des besoins clients.
Êtes-vous satisfait de la solution aujourd’hui déployée ?
Oui, nous en sommes pleinement satisfaits. Il faut bien évidemment communiquer en amont avec nos éditeurs pour que l’adhésion se fasse le plus sereinement possible. Mais PROVE IT a de nombreux avantages, et notamment sa version Cluster qui, en plus d’offrir une meilleure résilience, permet de gérer une plus forte volumétrie tout en conservant la même simplicité de mise en œuvre. La migration s’est donc déroulée rapidement et sans encombre, et nous disposons désormais d’un outil évolutif qui répond pleinement à notre besoin initial.
Vincent TEMPLIER
Responsable de la Sécurité du Système d’Information du CHU et du GHT Est Hérault – Sud Aveyron
Data Protection Officer du GHT Est Hérault – Sud Aveyron