Annuaire et IAM : retour d’expérience du CH Alpes-Isère

Un projet d’IAM1 peut très vite devenir empirique et impactant institutionnellement pour peu que l’on pousse la réflexion audelà de ce périmètre. Quelle place lui donner au sein d’un SI ? Quelle gouvernance et quel rôle au sein d’un GHT ? Voici quelques questions qu’un tel projet pourrait soulever et auxquelles je vais essayer de répondre avec ce retour d’expérience.

De prime abord la tâche ne semblait pas si compliquée que cela. Après tout, qu’est-ce qui pourrait bien l’être dans la mise en place d’un annuaire ?

1 Un IAM pour les gouverner tous

Nous connaissons tous le leitmotiv de ce type de projet : reprendre la main sur la gestion des identités au sein de nos établissements. Alors, que ce soit par pur orgueil d’informaticien ou, plus prosaïquement, par une volonté de sécuriser et rationaliser la gestion des identités, ce projet
prendra tout son sens lorsqu’il sera question de répondre aux nombreux audits/contrôles auxquels nous sommes assujettis : certification des comptes, certification HAS, Hôpital numérique, normes ISO, etc.

D’abord, une cartographie des applications à habilitations

La genèse de ce type de projet est donc d’en finir avec la création et la distribution sauvage d’habilitations au sein de nos SI. Pour ce faire, il est essentiel de procéder au préalable à une cartographie (voilà qui est original !) des applications à habilitations, et de prioriser ces dernières afin de concentrer es efforts sur les futurs connecteurs à forte valeur ajoutée. Il est important, au moment de ce travail, de ne pas perdre de vue les cibles potentielles des auditeurs, DPI, GAP, GEF, mais également EAI, AD, GRH et autres accès périmétriques. Et si au passage, vous pouvez à moindre coût gérer vos pools de véhicules et caisses de cafeteria, vos usagers n’en seront que plus ravis ! C’est là que le travail se gâte : exit les projets centrés sur la DSI, tout le monde doit s’y mettre ! De la réorganisation des processus d’arrivée et de départ des agents à la délégation de gestion des habilitations, en passant par la modification des exigences applicatives (lors de nouvelles acquisitions notamment), c’est l’institution dans son ensemble qui se voit impactée. Il est l’heure de travailler de concert ! Il vous faudra faire preuve de pragmatisme et de pédagogie, lorsqu’il sera question d’expliquer à votre service des ressources humaines, le rôle central de son application (et implication) et la rigueur que cela induit en terme de gestion des contrats de travail. C’est le point de départ, l’identité est essentiellement (mais pas exclusivement) créée et gérée ici.

2 Un IAM pour les piloter tous

Une fois la connexion fiabilisée avec les référentiels, agents et structures, votre IAM va donc devenir la pierre angulaire de votre SI. Il va très rapidement piloter l’identité dans vos Active Directory (ou équivalent), vos messageries, vous permettant d’automatiser la création et l’invalidation des comptes et d’y déverser automatiquement une mine d’informations issues de votre GRH, comme les informations de métier, de grade, d’unité(s) ou les numéros RPPS de vos praticiens (très utiles pour simplifier les accès aux plateformes régionales entre autres). Dès lors, commence à s’opérer une redistribution des responsabilités et les premiers effets vertueux se font sentir. « Vous n’arrivez pas à ouvrir votre session ? En effet, votre contrat n’a pas été renouvelé dans le logiciel RH, merci de vous rapprocher du service ressources humaines ».

Confort et réactivité

Tout nouveau connecteur mis en place dans votre SI par le biais de votre IAM apportera ainsi son lot de sécurisation, de confort et de réactivité. Un nouvel agent prend ses fonctions ce matin : le service de gestion des badges est en capacité de produire le support d’authentification. Ses habilitations informatiques sont provisionnées, son poste informatique accessible par le biais de sa carte, ses accès aux bâtiments ouverts et il pourra badger au self à midi avant d’emprunter un véhicule du pool pour se rendre au domicile du patient. Il recevra sa carte CPS dans les prochains jours, commandée automatiquement auprès de l’ASIP Santé par votre système. Au lancement du projet, en 2011, cette vision nous paraissait utopiste. Aujourd’hui c’est une réalité !

3 Un IAM pour les contenter tous

Au-delà du confort et de la sécurité que cela apporte au quotidien pour la gestion des identités dans nos établissements, l’IAM est un outil qui fait mouche lors des différents audits. Très souvent couplé à des solutions de CMS2 et de SSO3, vous obtiendrez là un triptyque de poids lorsqu’il sera question d’auditer vos habilitations. Vous réduisez la présence de comptes génériques dans vos SI, et cela se répercute dans vos applications (reste a minima quelques comptes applicatifs, prestataires externes,...). Les comptes toujours actifs de personnels ayant quitté l’institution tendent également à disparaître, ou dans le pire des cas à être invalidés par votre IAM pour ceux nécessitant une traçabilité dans le temps. Le tout étant calculé à chaque alimentation en fonction de critères divers et variés (unité fonctionnelle, métier, dates de présence ….) et tenant donc compte des modifications faites (en RH par exemple) entre chaque alimentation.

Décentraliser

Pour les plus téméraires, cela permettra de pousser jusqu’à la décentralisation de la gestion / délivrance des badges (à un PC sécurité par exemple), de déléguer tout ou partie de la gestion des populations étudiantes (IFSI par exemple), personnels externes, stagiaires (direction des soins par exemple), de déporter sur les responsables de données, la gestion des habilitations dans leurs applications respectives.

4 Dans l’inquiétude… les « plonger » tous !

Histoire de ne pas se faire l’évangéliste d’un tableau trop idéaliste, avouons que l’IAM induit un certain nombre de contraintes / risques, et non des moindres. Il nécessite la mise en place de garde-fous afin de ne pas mettre à genou votre SI en cas de bug du moteur de calcul. Imaginez une invalidation complète des comptes informatiques, ou un mélange massif des attributs entre homonymes… Il induit des coûts directs et indirects non négligeables, liés aux interfaces, au temps homme nécessaire à l’administration et à la surveillance de la solution, au temps organisationnel nécessaire entre les services de l’institution pour mettre en place les nouvelles organisations, aux projets connexes (SSO et lecteurs de badge par exemple). Il va très rapidement introduire des calculs complexes d’attributs, afin de gérer toutes sortes d’exceptions, souvent liées à des métiers ou des types particuliers de personnes. En conclusion, une mauvaise évaluation des contraintes peut rapidement rendre le projet titanesque et décourager les moins persévérants. Mais à l’aube du nouveau programme Hop’En et de la mise en place des systèmes d’information convergents, le pilotage nécessaire des identités entre les différentes entités juridiques place plus que jamais l’IAM comme le médiateur incontournable des systèmes d’informations territoriaux. 

1 Identity and Access Management ou GIA, en français pour gestion des identités et des accès

2 Card Management System, application permettant entre autres la gestion du cycle de vie des cartes

3 Single-Sign-On, méthode permettant à un utilisateur d'accéder à plusieurs ressources informatiques en ne procédant qu'à une seule authentification.

Partager ce document sur les réseaux