A2COM RESADIA
Héberger et infogérer les données sensibles des organisations de santé
Enjeux :
> A2COM souhaitait obtenir les certifications ISO 27001 et HDS
(Hébergeur de Données de Santé) pour
héberger et infogérer les données sensibles
des organisations de santé
Solution :
> cyberelements Cleanroom
Bénéfices :
>Éligibilité à l’hébergement de données de santé
> Un SSO natif et transparent
> Des sessions distinctes /scindées dans un contexte d’infogérance
Les enjeux
Au-delà d’être un élément clé dans notre processus d’obtention des certifications ISO 27001 et HDS, cyberelements Cleanroom nous permet de monitorer l’ensemble des actions d’administration et ainsi de nous assurer qu’il n’y ait pas de fuites de données, qui peuvent être extrêmement préjudiciables dans le domaine de la santé où les données sont sensibles par essence.
A2COM est un prestataire de services informatiques opérant notamment dans l’hébergement et l’infogérance de données sensibles. Fort de plus de 20 ans d’expérience et répartis sur 5 sites en France, A2COM est par ailleurs membre du Groupe Resadia, 1er groupe français de services et d’intégration de réseau informatiques, télécom et sécurité.
Dans le cadre de son activité d’hébergement de données sensibles, A2COM souhaitait obtenir la certification HDS (Hébergeurs de Données de Santé) nécessitant elle-même d’avoir la certification ISO 27001. Afin de se conformer à l’exigence de traçabilité des actions, et après avoir audité toutes les activités des administrateurs ainsi que les activités d’administration sur leurs clients HDS dans le but de s’assurer qu’il n’y ait pas de fuites de données sensibles, la DSI d’A2COM a décidé de rechercher une solution de bastion, pour être en mesure de tracer l’ensemble des connexions et des actions menées sur les serveurs ayant des données sensibles.
La solution
La DSI d’A2COM a tout d’abord rédigé un cahier des charges précisant les fonctionnalités attendues de la solution. La solution devait, entre autres, permettre d’effectuer la prise en main chez les clients qui ont leur propre système d’information, que ce soit pour le centre de services A2COM, ou pour les prestataires du client concerné, dans le cadre d’une offre mutualisée. Elle devait également permettre des prises en main par session d’administration en séparant les vidéos et les logs client par client, de s’adapter à toutes les interfaces afin d’insérer les informations de connexion sans développement spécifique et aussi s’assurer que les prestataires n’aient pas accès aux informations de connexion des infrastructures des clients.
Après avoir étudié les offres de 3 éditeurs, notamment lors d’une phase de POC (Proof Of Concept), la solution cyberelements Cleanroom est choisie puisqu’elle répondait aux points clés du cahier des charges que les autres éditeurs n’étaient pas capables d’adresser de la même façon.
Aujourd’hui, une vingtaine de personnes au sein des équipes techniques d’A2COM utilisent cyberelements Cleanroom pour leurs actions d’administration, aussi bien pour l’administration de leurs propres ressources, que pour l’administration des ressources des clients hébergées chez eux et des ressources des clients hébergées chez le client (hybride). Par ailleurs, via cyberelements Cleanroom, les clients d’A2COM peuvent également administrer eux-mêmes leurs ressources hébergées chez A2COM. Le module Extranet Sécurisé s’appuye sur le produit cyberelements Gate qui grâce à son architecture ZTNA, permet un accès sécurisé et audité dans n’importe quelle configuration.
Éligibilité à l’hébergement de données de santé
Pour A2COM, le déploiement d’une solution PAM (Privileged Access Management) relevait en premier lieu d’un enjeu commercial. Il s’agissait d’être en mesure d’héberger mais aussi de proposer des prestations d’infogérance aux organisations de santé en se conformant aux obligations réglementaires effectives depuis le 1er janvier 2019, date d’entrée en application de la procédure de certification HDS. Dans ce cadre, A2COM est certifié aussi bien pour les prestations d’hébergeur d’infrastructure physique que pour les prestations d’hébergeur infogéreur.
Christophe Le Lostec, DSI d’A2COM l’admet volontiers : « Sans cyberelements Cleanroom nous n’aurions pas eu la certification HDS. On avait besoin d’une solution de PAM avec authentification forte et la solution cyberelements Cleanroom a répondu à notre problématique ». En effet, une solution de PAM permet de répondre efficacement à plusieurs sections de la norme ISO 27001, elle-même nécessaire à l’obtention de la certification HDS, en permettant notamment aux organisations de garder une trace de toutes les actions à pouvoirs des utilisateurs au sein de leur infrastructure informatique.
Des sessions d’administration distinctes indispensables dans un contexte d’infogérance
Dans le cadre de leur métier d’hébergeur / infogéreur, il était hors de question pour A2COM qu’un administrateur puisse, dans une seule et même session d’administration, se connecter sur le système d’information du client A, puis sur celui du client B, et enfin celui du client C. Dans le cadre de l’hébergement de données de santé, les autorités peuvent potentiellement demander des vidéos des actions menées sur les systèmes d’information de clients spécifiques. Il est donc essentiel que seules les données du client concerné soient fournies aux autorités.
Pour Christophe Le Lostec, « il était indispensable que les sessions d’administration soient bien scindées » car au-delà du partage de données aux autorités, A2COM peut aussi être amené à partager une vidéo des actions réalisées à la demande d’un client qu’il soit HDS ou non et donc l’étanchéité entre les données des différents clients doit être totale.
Un SSO natif et transparent
En matière d’administration sécurisée il est également recommandé de s’assurer que les administrateurs n’aient pas accès aux informations de connexion des infrastructures. D’un point de vue technique, Christophe Le Lostec a été séduit par l’intégration native et transparente du module SSO au sein de la solution:
« cyberelements Cleanroom nous permet de faire du SSO sur l’ensemble des interfaces d’administration sans développement de connecteur dès qu’on souhaite enrôler une nouvelle application, chose qui n’était pas possible avec les autres solutions étudiées » avant d’ajouter « notre but était d’être techno-agnostique avec donc une interface agnostique de façon à pouvoir justement interpréter le SSO dans toutes les situations. »
cyberelements Cleanroom intègre en effet, nativement, un module Coffre-fort de mots de passe qui permet par ailleurs à la DSI de mettre en place des politiques de rotation de mots de passe automatiques ainsi que leur délégation.
A l’avenir, A2COM envisage de faire bénéficier l’ensemble de ses clients, HDS ou non, de la solution cyberelements Cleanroom pour l’administration sécurisée de leur infrastructure.