CAIH : mise à disposition d'un dispositif spécial de virtualisation des postes dans le cadre du COVID-19

CAIH "Dispositif spécial virtualisation des postes dans le cadre du COVID-19"

 

 

Dans le cadre de la lutte contre le COVID19, la CAIH a demandé aux éditeurs de solutions de virtualisation un accompagnement pour faciliter le travail à distance des établissements.

Leurs propositions sont les suivantes :

SYSTANCIA : Licences Applidis gratuites pour 3 mois.

En complément, accessible via le marché CAIH : la solution de télétravail proposée gratuitement par SYSTANCIA avec le soutien d’OVH (présentation ci-jointe)

VMWARE : Licences d’essai gratuites pendant 3 mois.

CITRIX : Licences temporaires gratuites pour 3 mois. permettant d’activer les droits d’accès pour la partie Virtual App/desktop et Netscaler (accès au site).

 

Vos contacts du marché CAIH ne changent pas :

 

SOLUTION

​CONTACT 

​CITRIX

​Jean Michel BENITO
caih@neocles.com

​VMWARE

​Xavier CROZAT
xavier.crozat@axians.com

​SYSTANCIA

Mme Jacqueline MARIE BIANNE
jmariebianne@fr.scc.com 

 

 

Pour rappel, les recommandations du Fonctionnaire de Sécurité des Systèmes d'Information à l’attention des établissements de santé, sur les problèmes induits par l’utilisation massive de poste en télétravail sont les suivantes :

Tous les secteurs d’activités vont avoir recours à cette possibilité à un niveau qui pour l’instant n’a jamais été fait. Au passage quelques rappels concernant la sécurité :

Catégoriser les données et analyser les risques pour une plus grande sécurité informatique (Certes un peu tard maintenant si cela n’a pas été anticipé) : Avant même de mettre en place un projet de télétravail, la première tâche de l’entreprise consiste à identifier clairement les risques qu’elle encourt et pour cela, à classer ses données et ressources selon leur degré de criticité.  Il convient donc en premier lieu d’identifier les informations les plus sensibles afin d’envisager pour certaines d’en interdire l’accès à distance, ou pour d’autres de mettre en place des mécanismes de sécurité renforcés. Si la mission d’un collaborateur implique un accès permanent à des informations très critiques, celle-ci ne se prête peut-être pas au télétravail.

Hors MSS, Il est possible d’utiliser des containers ZED ou Bluefiles pour échanges d’informations sensibles

Authentification à mettre en place (par pitié évitez si possible les OWA ou webmails) : Il revient normalement à l’employeur de fournir à son collaborateur tous les équipements nécessaires à son travail. L’idéal est que le salarié utilise un équipement dédié, et dispose d’un poste. S’il utilise son propre matériel, son poste reste dans tous les cas exposé au risque d’intrusion ou peut simplement être utilisé sans précaution par un autre membre de la famille et ainsi impacter vos SI. Pour éviter toute intrusion étrangère dans vos systèmes il faut donc pouvoir identifier avec certitude le salarié lorsqu’il s’y connecte

Sécuriser les flux pour prévenir toute interception d’informations lors des échanges entre le poste du salarié et le réseau, il convient de sécuriser ces flux. Pour cela, il est possible d’utiliser un VPN (Virtual private network, ou réseau privé virtuel), dont certains, si cela n’a pas été prévu et dans l’urgence, sont gratuits et analyser de manière automatique le flux qui provient des postes distants. Le salarié n’est en effet pas à l’abri d’avoir récupéré des virus sur son ordinateur, par exemple s’il l’utilise pour des sessions internet à usage non professionnel.

Sensibiliser les agents : Quelle que soient les solutions technologiques adoptées, la meilleure façon de protéger l’établissement et ses agents est de les sensibiliser aux enjeux de sécurité liés au télétravail : faites de vos agents les maillons forts de la sécurité. Rappelez et sensibilisez les agents aux meilleurs usages et de leur faire prendre conscience des risques que représentent par exemple l’absence de mise à jour d’un antivirus, le mélange des messageries personnelles et professionnelles, ou le stockage de données de l’établissement sur des plates-formes publiques.

Encadrer les usages : normalement cela doit déjà être fait, le RSSI est avant tout quelqu’un de BCBG « beau crayon, belle gomme ». La sécurité, c’est d’abord de la paperasse, rien ne sert de mettre en place des mécanismes de sécurité si l’agent ne sait pas ce qu’il peut faire doit faire et ne pas faire (Cf. Charte),  si cela n’est pas inscrit dans son contrat de travail ou dans le règlement intérieur. Il convient de détailler les bonnes pratiques, d’expliciter les restrictions et de donner les procédures à respecter.