Vous êtes dans : Accueil > Actualités > Sécurité >

Softway Médical : sécurité à tous les étages

DSIH, BB, LUNDI 01 JUIN 2015

La Sécurité des Systèmes de Santé est un thème primordial pour Softway Medical. Sherley Brothier, CTO de l’éditeur, passe en revue pour nous les différentes actions menées pour assurer à ses clients un niveau de sécurité optimal.

DSIH: Quelles sont les dispositions prises par Softway Medical pour assurer une bonne sécurité des systèmes d'informations de ses clients ?

Sherley Brothier : Nous agissons à toutes les étapes du processus, que ce soit durant les phases de conception et développement de nos solutions logicielles ou lors de leur exploitation pour nos clients. Softway Medical propose principalement ses solutions en mode SaaS (services hébergés) ; il est donc bien entendu de notre ressort de garantir un niveau de sécurité élevé pour chacun de nos clients. L’agrément HDS (Hébergeur de Données de Santé) délivré il y a maintenant 4 ans par l’ASIP Santé démontre notamment que nous sommes particulièrement sensibles aux sujets de la sécurité depuis de nombreuses années. Il est certain qu’une bonne sécurité des SI passe par la disponibilité des solutions, tant au niveau de l’infrastructure (système, réseau) qu’au niveau applicatif où il s’agit par exemple de garantir que le système est robuste à des coupures de connexion, à des défaillances matériels voire de datacenter, ou encore pourquoi pas à des actes de malveillance. Le deuxième axe concerne l’intégrité du système et des données car il s’agit de garantir aussi bien au niveau matériel, mais aussi et surtout au niveau applicatif que la donnée saisie correspond bien à la donnée stockée, sans aucune altération possible, même en cas de disque défaillant par exemple.
Nous œuvrons sur la sécurité à travers une gestion de rôles et privilèges extrêmement fines. Nous assurons aussi la traçabilité des actions au niveau utilisateur applicatif, mais aussi système. Rappelons que nos solutions sont hébergées dans un Cloud privé et qu’il est par conséquent nécessaire de pouvoir garantir la traçabilité de toutes les actions, de niveau exploitation systèmes et réseau (comme celles réalisées par les équipes de Softway Medical dans le cadre d’une maintenance par exemple).

Concernant la confidentialité, nos solutions Hopital Manager et One Manager  sont multi-tenant. Nous optons systématiquement pour un environnement dédié et étanche par établissement ou groupe d’établissements. Il est intéressant de noter que l’approche multi-tenant et mono-base de notre architecture logicielle est particulièrement adaptée aux GHT (Groupement Hospitalier de Territoire).

DSIH : Comment les actions d'authentification sont-elles prises en charge ?

S.B. : Elles s'exercent à trois niveaux. Concernant le système, le niveau d'authentification Softway Medical utilise l’authentification forte à 2 facteurs avec un couple identifiant / mot de passe associé à un second mot de passe à usage unique délivré par un token OTP (One Time Password) individuel. Quant à l'applicatif, Softway Medical supporte différents modes d’authentification qui, en fonction des usages et des contraintes des personnels médicaux, sont capables d’allier simplicité d’usage et sécurité d’accès.
L’architecture logicielle de notre offre repose sur une plateforme multi-services (gestion des urgences, gestion du bloc, gestion des patients, gestion des plans de soins, etc.) et une base de données unique qui assure à l’utilisateur un environnement homogène pour réaliser ses tâches quotidiennes. Concernant les accès physiques à nos locaux sécurisés, des contrôles d’identité des personnes sont systématiquement réalisés par des personnels de sécurité avant de pouvoir rentrer dans les Datacenter où nous opérons pour des travaux de maintenance matérielle par exemple.

DSIH : Quels processus sont-ils mis en place chez Softway Medical pour assurer une bonne sécurité ?

S.B. : La sécurité est gérée au plus haut niveau de l’entreprise chez Softway Medical. A titre d’exemple, nous avons, un RSSI qui reporte directement au PDG et qui définit la politique de sécurité. Notre démarche qualité et nos processus d’accueil RH (Ressources Humaines) impliquent que chaque collaborateur, à son arrivée, soit formé aux bonnes pratiques de sécurité en vigueur dans l’entreprise ; il doit également signer un ensemble de chartes et politiques de sécurité (logique et physique). En outre, certains personnels (les personnes ayant un certain niveau de privilège au niveau de nos infrastructure d’hébergement) doivent fournir un extrait de casier judiciaire. Mais la sécurité est aussi très présente dans nos processus de développement où la méthodologie agile que nous utilisons permet de réagir en cycle très court quand cela s’avère nécessaire. Il en est de même lors de l’ajout de nouvelles fonctionnalités où nous encourageons le « peer-programming » ou le « peer-review » afin de détecter grâce à un regard externe le plus en amont possible, d’éventuelles failles de types injection de SQL ou de type cross-site scripting (XSS) par exemple. En complément, nos logiciels sont régulièrement audités par des sociétés de sécurité spécialisée.

DSIH : Quels sont les retours de vos clients sur ce thème ?

S.B. : Les RSSI des établissements de santé avec lesquels nous travaillons apprécient tout d'abord notre réactivité. Nous avons mis en place au sein de nos services de développement un système agile, nous permettant, en travaillant en cycles courts, de nous adapter rapidement à la fois aux contraintes réglementaires et à leurs demandes spécifiques. Nous avons également adopté une organisation de type "DevOps" (contraction de « Developer » et « Operations » en anglais), qui rapproche les équipes de développement logiciels et les équipes d’exploitations et d’infrastructure. Cela participe de notre réactivité auprès de nos clients.

DSIH : Softway Medical est Hébergeur de Données de Santé (HDS). Allez-vous améliorer encore votre démarche qualité ?

S.B. : Tout à fait, puisque nous sommes certifiés ISO 9001 et ISO 13 485. Outre l’agrément HDS (Hébergeur de Données de Santé), que nous avons obtenu il y a quatre ans et qui vérifie comment sont opérés nos systèmes de produits au quotidien et comment nous en garantissons la sécurité, nous sommes en phase de certification ISO 27001. Cette norme internationale s'attache à auditer les processus utilisés pour produire et gérer les solutions. C'est un effort constant qui devrait aboutir début 2016.

#sécurité#softway#saas#hopital#agrément#medical#softway medical#hébergeur#données de santé##rssi#logiciels#datacenter