Constitué le 1er janvier 2019, le Groupe Hospitalier Universitaire (GHU) Paris Psychiatrie et Neurosciences est issu du rapprochement de trois établissements hospitaliers parisiens : Maison-Blanche, Perray-Vaucluse et Sainte-Anne. Il dispose en tout de 170 lieux de prise en charge sur 94 sites (pour l'ambulatoire, l'hospitalisation et les urgences) pour accueillir chaque année 66 000 patients (95 % en ambulatoire, en Centre Médico-Psychologique, en Centre d'Activité Thérapeutique à Temps Partiel). Le GHU dispose de 5600 collaborateurs (dont 600 médecins). Si beaucoup de missions excluent le recours au télétravail en période de crise sanitaire, d'autres sont au contraire aisées à basculer, pourvu que chacun dispose d'un accès à son poste de travail et au système d'information. Mais, en milieu médical, les contraintes de sécurité sur les données sont fortes alors que la bascule s'est opérée très rapidement.
« Nous avions mis en place différentes actions avant l'annonce du confinement général pour nous préparer au contexte de télétravail : mise à disposition d'ordinateurs portables quand cela était possible, sécurisation des accès à distance, etc. » se souvient Amré Abou Ali, RSSI du GHU Paris P&N. Mais la soudaineté de la crise empêchait une généralisation rapide de ces mesures. Et l'accès au poste physique restait absolument nécessaire pour un certain nombre de professionnels dont les données sont soumises à de fortes contraintes. Comme le GHU Paris P&N utilisait déjà des solutions de l'éditeur Systancia, celui-ci a été interrogé dès le confinement décidé. Permettre le télétravail depuis le domicile était évidemment une grande nouveauté.
Aucune installation d'agent sur le poste professionnel ou personnel
L'éditeur a mis à disposition en mode cloud sa solution Systancia Gate gratuitement sur les infrastructures d'OVHCloud. Il suffit que le poste de travail professionnel physique soit connecté au réseau et allumé (l'écran peut bien sûr être éteint) pour qu'il soit disponible dans un simple navigateur sur le poste personnel de l'agent concerné, chez lui, sans devoir paramétrer ou installer quoique ce soit sur le poste professionnel ou le poste personnel (notamment pas de VPN). Le poste personnel n'étant pas sous le contrôle de la DSI du GHU et pouvant être utilisé à bien d'autres usages sans oublier de potentiels failles ou virus, il est considéré comme n'étant pas de confiance dans une approche Zero Trust. Cette manière de procéder a permis un déploiement aisé en un week-end. La solution Systancia Gate est approuvée par l'Anssi.
L'agent en télétravail à domicile utilise donc un lien dans son navigateur pour se connecter au portail d'intermédiation Systancia Gate installé sur un serveur virtuel chez OVHCloud. Le protocole utilisé à base de HTML 5 interdit toute propagation d'un virus par ce lien : seule une image-écran est renvoyée tandis que les seules commandes clavier-souris permettent de piloter le poste à distance. Le contrôle de l'identité de l'utilisateur est à deux facteurs afin de garantir celle-ci. Le portail d'intermédiation utilise alors le protocole RDP pour se connecter (avec chiffrement) à une appliance située au sein des locaux du GHU. Celle-ci utilise de la même façon le protocole RDP pour se connecter au poste de travail. Il n'y a donc aucune virtualisation du poste de travail à proprement parler, ni même de classique prise de contrôle à distance (potentiellement piratable discrètement), mais une virtualisation sécurisée de l'accès au poste de travail.
L'architecture de Systancia Gate évite le recours au VPN pour le poste du télétravailleur sans mettre en cause la sécurité.
Amré Abou Ali se réjoui : « L'activation de Systancia Gate a été facile. L'implémentation et la formation des utilisateurs a pu se faire sans difficultés. Le système de double authentification protège l'accès à distance de 90% des attaques standards. Par ailleurs, l'usage de la technologie HTML5 permet, d'une part, d'accéder à son bureau à distance à travers le navigateur, ce qui facilite l'usage de la solution. Nul besoin d'installer une extension. D'autre part, cela permet également de séparer les actions de l'utilisateur sur son poste de travail et sur le système, en rendant étanche les deux espaces. Avec Systancia Gate, nous sommes donc en mesure de proposer le télétravail aux agents - qu'ils utilisent leur ordinateur personnel ou non - tout en protégeant le système d'information de l'hôpital ».