Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
13/10/2015 Système d'information régional messagerie sécurisée 1
Présentation du SI Messagerie sécurisée de santé
• GCS e-santé ARCHIPEL
13/10/2015 Système d'information régional messagerie sécurisée 2
RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP – DGOS)
la Direction Générale de l’Offre de Soins (DGOS) a publié uneinstruction sur le déploiement des messageries sécurisées de santé (cfnote instruction du 23 décembre 2014 en annexe de ce document).
D’ici la fin 2015, tous les établissements et acteurs de sant édevront être en capacité d’échanger avec les messageriessécurisées MSSanté .
Ce projet de mise en œuvre de messageries sécurisées de santé doitpermettre les échanges de données de santé et faciliter ainsi lacoordination des soins entre le secteur hospitalier et le secteur libéral.
En tant que maitrise d’ouvrage régionale des systèmes d’information de Santé, et sous l‘égide de l’ARS, le GCS ARCHIPEL 971 (Groupement de Coopération Sanitaire) se voit confier la mission de déployer une messagerie sécurisée de santé régionale conforme aux recommandations de l’ASIP et compatible MSSanté.
13/10/2015 Système d'information régional messagerie sécurisée 3
RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP – DGOS)
13/10/2015 Système d'information régional messagerie sécurisée 4
RAPPEL DU CONTEXTE DE MISE EN ŒUVRE ( ASIP – DGOS)
13/10/2015 Système d'information régional messagerie sécurisée 5
UNE SOLUTION GLOBALEla santé connectée aux services des patients
13/10/2015 Système d'information régional messagerie sécurisée 6
AGENDA� Présentation Fonctionnelle de la messagerie
sécurisée
� Présentation de la suite Zimbra
� Présentation des fonctionnalités Idéo Securemail
� Cas d’usage
� Architecture technique
� Présentation du proxy MSS
� dimensionnement
� Trajectoire du projet
13/10/2015 Système d'information régional messagerie sécurisée 7
MESSAGERIE SÉCURISÉESolution de messagerie sécurisée, dédiée aux professionnels de santé, permettant l’échange de messages dans une logique de confidentialité.
PRINCIPALES FONCTIONNALITES- Echange de messages sécurisés- Standards de messagerie intégrés- Recherche de professionnels multicritères- Accès simplifié à l’information médicale- Envoi de documents médicaux optimisé vers l’entrepôt XDS-B- Signature numérique authentifiant
l’expéditeur- Zimlet de recherche dans l’annuaire
référentiel- Zimlet de recherche dans le serveur
d’identité patient- Proxy MSS- Proxy Apycript- Authentification via une PKI local pour les
acteurs ne possédant pas de compte MSS
UNE MESSAGERIE ACCESSIBLE, FIABLE ET SÉCURISÉE- Authentification sécurisée via carte CPS , OTP- Messagerie pilotée par Idéo Directory- Compatibilité avec les messageries classiques- Couverture fonctionnelle riche- Application extensible- Application 100% web, accessible partout- Messagerie multi-domaines- Intégrée dans la suite Idéo Portal- Intégrée avec l’annuaire Référentiel Idéo Directory
v
13/10/2015 Système d'information régional messagerie sécurisée 8
LES OFFRES DE LA SUITE IDÉO SECUREMAILLe GCS Archipel dispose des 3 modules pour propose l’offre complète
Messagerie centralisé Zimbracollaboration suite 8.0
• Annuaire synchronisé avec RPPS et L’annuaire MSS
•Sécurité des accès avec Idéo SSO• provisionning automatique des
comptes et de la création des boîtes aux lettres avec Idéo Directory
•Zimlet PIX manager•Zimlet entrepôt XDS-B•Zimlet DMP•Zimlet Annuaire unifié•Messagerie Inter-applicative•Proxy MSS centralisé•Proxy Apycript
•Proxy MSS , LDAPS , SMIME SMTP(s) • Création automatiques des boîtes
aux lettres multi domaines•Gestion d’une PKI•Moteur de règles permettant la
définition des correspondances•Boîte aux lettres unifié• Interopérabilité avec les solutions
de Messagerie existantes Exchange , Lotus , Zimbra
•Supervision, audit et traçabilité
•Messagerie centralisé Zimbracollaboration suite 8.0
•Annuaire synchronisé avec RPPS et L’annuaire MSS
•Sécurité des accès avec Idéo SSO•provisionning automatique des
comptes et de la création des boîtes aux lettres
•Zimlet PIX manager•Zimlet entrepôt XDS-B•Zimlet DMP•Zimlet Annuaire unifié•Messagerie Inter-applicative•Proxy MSS centralisé
1 2 3
13/10/2015 Système d'information régional messagerie sécurisée 9
IDÉO SECUREMAIL
• Idéo™secureMail Une messagerie multi-domaine
• Basée sur ZCS ZIMBRA 8.0
• Compatibilité MSS , Apicrypt
• Une interface Web 2.0
• Un moteur de recherche élaboré basé sur des expressions régulières
• Un système de classement par conversation autour d’un patient
• Un système de classification des mails en fonction de la nature des échanges
• Une compatibilité avec les clients de messagerie du marché non intrusif sans installation d’un plugin (Outlook, Lotus Notes, Mozilla Thunderbird…)
• Une intégration forte avec l’annuaire LDAP de l’établissement ou de la région synchronisé avec l’annuaire MSS et RPPS
• Une intégration forte dans la suite Idéo santé
• Personnalisation des listes de diffusion
• Demande de certificat de chiffrement et de signature au gestionnaire de la PKI
• Sécurité des accès via le SSO , OTP password
• Signature et chiffrement des messages avec la carte de professionnels de santé
• Respect des standards S/MIME X509 CPS
• Interopérabilité avec un serveur d’identité PIX Manager
• Possibilité d’envoyer un document à un entrepôt XDS-B en format HL7 CDA R2
• Messagerie inter applicative avec Idéo Connect
Signature et chiffrement
Authentification forte
Idéo SSO
Carte CPS
OTP
Intégration
Bureau Virtuel
Accès à l’annuaire de
l’ENRS
Basé sur
ZCS
8.0
Proxy
MSS
Proxy
Apycript
Web
2.0
Envoi de document
À l’entrepôt XDS
13/10/2015 Système d'information régional messagerie sécurisée 10
FONCTIONNALITÉSLes fonctionnalités principal de ZIMBRA 8.0
CLIENTS WEB
Interface AJAX permettant le copier/coller, les libellés et les vues par conversation
Recherche évoluée incluant les fichiers enattachements
Le partage de tous les objets du système
Calendrier d'entreprise
Édition de document en ligne
Intégration d'application tierce grâce aux mash-up
ADMINISTRATION
Console d'administration AJAX
Archivage des boîtes aux lettres
Système de sécurité Anti-spam et Anti-virus intégré
LDAP et Active Directory intégrés
Délégation d'administration
MOBILE
Accès Web mobile
AUTRES DESKTOPS
Natif synchronisation aux applications Apple via ZimbraiSync Connector et CalDav
Support pour tous les clients POP3 et IMAP
Zimbra est un système de messagerie collaborative complet Open Source. L'accès natif est proposé à l'aide de client web AJAX.Ses fonctionnalités de base sont le mail, le calendrier, l'annuaire, les documents, le chat, les tâches et lasynchronisation mobile
13/10/2015 Système d'information régional messagerie sécurisée 11
FONCTIONNALITÉS ZIMBRALes fonctionnalités principal de ZIMBRA 8.0
Les avantages de Zimbra pour l’utilisateur :• Accessible de partout : de l’hôpital, de chez soi, de l’hôtel, etc.
• Choix du client : Zimbra webmail, Zimbra Desktop, Zimbra Mobile, Outlook, Thunderbird… et tout autre client supportant les standards POP/IMAP et iCal/CalDAV.
• Le client web Ajax fonctionne depuis n’importe quel ordinateur
• Travail collaboratif et productivité accrue• Gestion des boîtes aux nombreux emails facilitée par les étiquettes, la vue par conversation et la recherche avancée
• Toutes les fonctions disponibles au sein de la même interface : emails, agendas, carnets d’adresses, fichiers, tâches, messagerie instantanée…
• Extensions pour applications médicales Idéo sécurmail :• Envoi de mail vers l’espace de confiance MSS• Envoi de mail vers Apicrypt
Zimbra
ServerZimbra
Sync
ZimbraDESKTOP
Ajax Web Client
MS Outlook
zSync
zSync
MAPI iSync
CalDav
Apple Desktop
IMAP,POP,CalDav,
Ical, RSS
Standards Clients
13/10/2015 Système d'information régional messagerie sécurisée 12
12
MailPossibilité de partager un dossier de messagerie, de définir des boîtes mail
génériques ou encore des groupes d’utilisateurs (avec une adresse de groupe)
Carnet d’adresses• Créer et gérer plusieurs carnets d’adresses
• Partager des carnets d’adresses personnels
• Partage de carnet d’adresse avec d’autres utilisateurs
• Import des données depuis les carnets d’adresse actuels (en CSV)
Calendrier• Créer facilement des événements
• Possibilité de consulter les disponibilités des utilisateurs
• Possibilité de partager des calendriers entre les utilisateurs
• Accès à la réservation de ressources (salle, matériel…)
Tâches• Possibilité de créer des listes de tâches et de les gérer
• Partager les carnets de tâches avec d’autres utilisateurs
Porte-documents• Déposer des fichiers en ligne pour toujours les avoir avec vous
• Créer des documents et utiliser le versioning sur ces documents
• Partager certains espaces avec d’autres utilisateurs
Préférences• Possibilité de personnaliser les modules de Zimbra
Carnet
D’adressesTâches Préférences
Calendrier
1
2
4 56
Porte
documents
3
FONCTIONNALITÉS ZIMBRALes fonctionnalités principal de ZIMBRA 8.0
13/10/2015 Système d'information régional messagerie sécurisée 13
FONCTIONNALITÉS Idéo Securemail
Les fonctionnalités principales Idéo Sécuremail
Zimbra
Server
Zimbra Sync
Proxy
MSS
SS0
Entrepôt XDS-B
Accès depuis le
portail
1
2
Synchronisation
Annuaire AnnuaireRéférentiel
1-Création de boîtes aux lettres depuis la
création des comptes
2- synchronisation de l’annuaire référentiel
avec le GAL Zimbra
3-Zimlet de recherche de professionnels de
santé
ServeurD’identité
patient
Recherche
d’identité
3
1-recherhce d’identité patient
2-Ajout d’un patient dans la liste des
contacts
3-Envoyer un document à l’entrepôt
Entrepôt XDS-B
1-Envoi de document vers l’entrepôt XDS
2- Signature de document
3-Envoyer un document à l’entrepôt
4
5
6
1-recherche d’identité
2-Création d’un dossier via l’assistant de
création
1-recherche d’un correspondant ayant
Une boîte aux lettres MSS
2-Validation intelligente de l’adresse Mail
13/10/2015 Système d'information régional messagerie sécurisée 14
FONCTIONNALITÉS Idéo Securemail
Les fonctionnalités principales Idéo Sécuremail
Nom du produit RôleZimbra collaboration Network Professionnel 8.0 Messagerie Web AJAX Open source
Recherche des les différents annuaires Zimlet AnnuaireSignature et chiffrement Zimlet CPS ,Zimlet demande de certificat de chiffrement
Zimlet signature ,Zimlet préférences
Mailet « proxy Apycript »,Mailet « gestion d’une PKI »
Authentification via Idéo SSO Mot de passe OTP ,ou carte CPSIntermédiation avec le serveur d’identité Idéo Identity Zimlet recherche d’un patient au niveau d’un serveur de fédération et de
rapprochement
Envoi vers un Entrepôt de données XDS-B Zimlet médicale conforme la liste des documents DMP en format XDS
RedHat Linux système d’exploitation et applicationsPostfix serveur SMTPCyrus Serveur IMAPAmavis interface entre serveur SMTP et antivirusClamAV antivirusWebmin et modules posftix, Amavis, ClamAV interface d'administrationSpamAssassin filtre à spamSyslog Gestion des logs centraliséeMonit Supervision des servicesNet-snmp (compatible SNMP V3) Supervision serveurPartimage Sauvegarde et restauration à partir d’images compressées
13/10/2015 Système d'information régional messagerie sécurisée 15
FONCTIONNALITÉS Idéo Securemail
Zimlet identité
1-recherche d’identité patient au niveau du serveur d’identité régionale2-la recherche se fait Via des Traits stricts Nom , prénom , date de naissance , commune de Naissance , phonétique3- si le patient à un dossier , possibilité d’envoyer un document vers l’entrepôt XDS ,4- sinon possibilité de créer un dossier via un lien SSO vers l’application de création de dossier
1
1-possibilité d’ajouter une identité du patient dans le carnet d’adresse du professionnel2-l’ensemble des contacts patients sont stockées dans un dossier patients au niveau de l’onglet contact
2
3
13/10/2015 Système d'information régional messagerie sécurisée 16
FONCTIONNALITÉS Idéo Securemail
Zimlet annuaire
1-recherche d’un professionnel de santé au niveau de l’annuaire régionale2-la recherche se fait Via les éléments suivantsNom , prénom , profession, spécialité, code postalActivité au sein d’un établissement , appartenance à une communauté3- Possibilité de rédiger un mail directement au professionnel de santé
11-possibilité d’ajouter un professionnel dans le carnet d’adresse du professionnel et de visualiser s’il possède une adresse MMS2-l’ensemble des contacts sont stockées dans le carnet d’adresse
23
13/10/2015 Système d'information régional messagerie sécurisée 17
FONCTIONNALITÉS Idéo Securemail
Zimlet XDS-B
1-recherche d’identité avec une auto complétion quand le patient possède un dossier d’échange ou de partage2-possibilité de faire une recherche étendu sur le serveur d’identité dans le cas ou le patient ne possède pas un dossier
13-Descritption du document a envoyer à l’entrepôt XDS-BTitre du document , type de document , accès restreint , date de l’événement qui a produit le document 4-Validation de l’auteur du document5-Envoi du document avec l’entête XDS-B
23
13/10/2015 Système d'information régional messagerie sécurisée 18
1-Un Ps peut signer son message grâce à la carte CPS depuis un poste client de messagerie lourd ou à travers le Web mail mis à disposition.
2- demande de code PIN de la carte CPS3- Signature encours4-Envoi du message signé
Signature
Demande du code Pin de la carte CPS
Traitement du message
1
2
3
FONCTIONNALITÉS Idéo Securemail
Principes de signaturePour plus de détail sur les principes d’authentification : référentiel d’authentification des acteurs de santé de la PGSSI-S( http://esante.gouv.fr/sites/default/files/pgssi_referentiel_authentification_v.2.0.pdf)
13/10/2015 Système d'information régional messagerie sécurisée 19
FONCTIONNALITÉS Idéo Securemail
Principes de signature d’un mail
Zimbra
Server
Compte
unifié
AnnuaireRégional
Certificat public
CRL
1
2
3RPPS CRL ADELI
Synchronisation de
l’annuaire régional
Création de
BAL
Recherche
Annuaire
Plateforme ENRS récepteur
Envoi du mail à partir
d’un client de
messagerie
Le Bloc de sécurité
Intercepte le mail et
demande à l’utilisateur
s’il veut bien le signer
et/ou le chiffrer
L’utilisateur décide de
le signer uniquement
Le Bloc de sécurité
utilise la clé privé de la
carte CPS pour signer
Le mail et l’envoi
4
Envoi de mail
5
Relève de mail
6
7
8
Le Bloc de sécurité
intercepte la demande et
va chercher le courrier
dans Idéo Securemail
Le certificat de Clé
publique du
correspondant est
joint au message et
vérifie la validité de la
signature
Le client messagerie
récupère les mails
depuis le bloc de
sécurité et les
affichent
ASIP Santé
13/10/2015 Système d'information régional messagerie sécurisée 20
Zimbra
Server
Compte
unifié
AnnuaireRégional
Certificat public
CRL
1
2
3RPPS CRL ADELI
Synchronisation de
l’annuaire régional
Création de
BAL
Recherche
Annuaire
Plateforme ENRSEmetteur
Envoi du mail à partir
d’un client de
messagerie
Le Bloc de sécurité
Intercepte le mail et
demande à l’utilisateur
s’il veut bien le signer
et/ou le chiffrer
L’utilisateur décide de
le chiffrer uniquement
Le Bloc de sécurité
utilise la clé public du
correspondant stocké
dans l’annuaire après
vérification de la CRL
4
Récupération de la
clé public du
correspondant
6
Relève de mail
7
8
9
Le Bloc de sécurité
intercepte la demande et
va chercher le courrier
dans Idéo Securemail
Il demande au PS
d’introduire sa carte
CPS qui contient la clé
privé pour déchiffrer
le message
Le client messagerie
récupère les mails
depuis le bloc de
sécurité et les
affichent
ASIP Santé
5
Envoi de mail
FONCTIONNALITÉS Idéo Securemail
Principes de chiffrement d’un mail
13/10/2015 Système d'information régional messagerie sécurisée 21
1- L’utilisateur peut gérer son coffre fortIl peut exporter ou importer par exemple son certificat d’une clé USB vers son coffre fort
2- L’utilisateur peut faire une demande de certificat directement au GIP-CPS En introduisant sa carte CPS , le formulaire nom, prénom , identifiant , numéro de carte CPS est rempli automatiquement
1
2Gestion du coffre fort
Demande de certificat au GIP-CPS
FONCTIONNALITÉS IDÉO SECUREMAILZimlet : gestionnaire de certificats
13/10/2015 Système d'information régional messagerie sécurisée 22
ARCHITECTURE IDÉO SECUREMAILSchéma logique
Serveur d’application JBOSS/OS Linux 64 bits Redhat
Crypto lib GIP-CPS
API id
éo
Secu
rem
ail
Client Idéo SSO
WidgetPortail
ZimletXDS-B
ZimletIdentité
ZimletCertificat
ZimletAnnuaire
AuthentificationCPS/OTP/login Mot de
passe
13/10/2015 Système d'information régional messagerie sécurisée 23
AGENDA� Présentation Fonctionnelle de la messagerie
sécurisée
� Présentation de la suite Zimbra
� Présentation des fonctionnalités Idéo Securemail
� Cas d’usage
� Architecture technique
� Présentation du proxy MSS
� dimensionnement
� Trajectoire du projet
13/10/2015 Système d'information régional messagerie sécurisée 24
L’ESPACE DE CONFIANCE MSSANTEC’est quoi La MSSanté
Le système MSSanté repose sur un groupe autorisé de domaines de messageries fonctionnant en vase clos,
appelés domaines MSSanté , il repose sur les principes suivants :
Universalité : tous les professionnels habilités, quels que soient leurs modes d’exercice, doivent être en capacité de disposer d’uncompte de messagerie sécurisée permettant d’échanger avec tous les professionnels habilités, quels que soient les outils utilisés ;
Simplicité : l’émission et la consultation des messages sécurisées ne modifient pas les pratiques habituelles des autres outils de messageries, y compris en mobilité ;
Sécurité : l’utilisation d’une Messagerie Sécurisée de Santé doit assure confidentialité des données de santé à caractèrepersonnel échangées.
Le système MSSanté repose sur un « espace de confiance » qui se caractérise par :
� Un annuaire national MSSanté s’appuyant notamment sur le répertoire partagé des professionnels de santé et ayant vocation à référencer l’ens
emble des professionnels
� Une liste blanche de domaines qui regroupe l’ensemble des domaines de messageries des opérateurs autorisés à
échanger dans l’espace de confiance MSSanté
� Un référentiel permettant aux industriels de développer des offres conformes et interopérables entre elles.
13/10/2015 Système d'information régional messagerie sécurisée 25
L’ESPACE DE CONFIANCE COURBARILUne messagerie sécurisée pour l’ensemble des acteurs de santé en Guadeloupe
La messagerie MSSanté s’adresse principalement aux Professionnels de Santés. Pour élargir le dispositif aux acteurs participants à la prise en charge (médico-social, aidants etc.), le GCS Archipel à mis en place son propre espace de confiance « Courbaril » pour la région Guadeloupe & Iles du Nord.
L’espace de confiance « Courbaril » prend également en comptes tous les professionnels disposant déjà d’adresses de messagerie de type ApiCrypt.
Le système de messagerie sécurisé « Courbaril » se caractérise par :
� Un annuaire régional s’appuyant sur le répertoire national MSSanté, mais également sur l’annuaire des acteurs de santé en Guadeloupe.
� Une messagerie sécurisée. L’espace de Confiance « Courbaril » ne permet d’échanger qu’avec des acteurs de Guadeloupe, MSSanté et
Apicrypt.
13/10/2015 Système d'information régional messagerie sécurisée 26
MESSAGERIE SÉCURISÉELes modèles de déploiement de la MSS
v
Espace de
confiance
Internet Relais SMTP
Espace de Confiance Coubaril
Annuaire
RASS
Mail sécurisé MSS santé
Mail non sécurisé
Synchronisation Web service RASS
ProxyMSS
AES
ProxyMSS
Compte de messagerie TerriSanté
ETS 1
Domaine de messagerie géré par
TerriSanté
ETS 2ETS 3
Utilisation du Proxy MSS de TerriSanté
Fonctionnement Autonome
1234
Basée sur Idéo SecureMail
� Envoi et réception sécurisés des mails avec les autres proxys MSS Santé de l’espace de confiance,
� Interrogation de la liste blanche nationale des domaines de l’espace de confiance,
� Publication dans l’annuaire MSSanténational des boites MSSanté gérées par la plateforme, à partir des données d’IdéoDirectory
� Synchronisation en local de l’intégralité de l’annuaire MSSanté national
� Zimlet annuaire
� Zimlet Identité
� Zimlet XDS-B
� Accessible depuis le portail ville/hôpital intégrée au domaine de confiance Coubaril
� Traçabilité au sens d’ATNA
13/10/2015 Système d'information régional messagerie sécurisée 27
Etablissement de santé
utilisant le proxy MSS
santé de l’opérateur
Régional
Professionnel de santé
Disposant d’une boîte
aux lettres Unifiée de
l’espace de confiance
Professionnel de santé
disposant d’un compte
De messagerie MSS
Espace de Confiance Courbaril
www.esante-guadeloupe.frUne messagerie sécurisée
Pour l’ensemble des acteurs
Etablissement de santé
utilisant son propre
Proxy MSS
Sphère
Médico Social
ProxyMSS
ProxyMSS
1
2
3
6
5
Espace de Confiance ASIPSanté
4
MESSAGERIE SÉCURISÉELes cas d’usage
13/10/2015 Système d'information régional messagerie sécurisée 28
MESSAGERIE SÉCURISÉEEtablissement utilisant les services MSS de l’opérateur régional 1
L’établissement de santé possède sa propre messagerie standard non sécurisée et utilise la messagerie sécurisée de
la plateforme Courbaril
L’utilisateur possède deux boîtes aux lettres :
1-une boîte aux lettres non sécurisée de son établissement @ch-xxxx.com
2-Une boîte aux lettres nominative sécurisée MSSanté @ch-xxxx.mssante.fr, [email protected]
MS Outlook
Thunderbird
Client lourd
Domaine de l’établissement de santé
Domaine de confiance Courbaril
Relais
SMTP
Internet
Client Web
Athu sécurisée
Athu sécuriséeRelais
SMTPS
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPSComptes MSS
Domaine de confiance Courbaril
MSSanté
Relais
SMTPZimbra
Server
Compte
unifié
Courbaril
Proxy
apicryptApicrypt
13/10/2015 Système d'information régional messagerie sécurisée 29
MESSAGERIE SÉCURISÉEEtablissement utilisant le proxy MSS régional dans sa messagerie
1
bis
e
Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l’établissement.
Il est en capacité de positionner lui-même l’adresse d’émission en fonction des destinataires. Dans le cas où la liste des destinataires
ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l’émission du message vers les
adresses non MSSanté à partir de la BAL MSSanté. L’utilisateur possède une boîte aux lettre unifiée:
1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com
MS Outlook
Domaine de l’établissement de santé
Relais
SMTP
Internet
MSSanté
Relais
SMTPS
Le proxy MSS n’est pas intégrée dans la messagerie
Serveur Messagerie
Domaine de confiance courbaril
Relais
SMTPS
Le proxy MSS n’est pas intégrée dans la messagerie
Serveur Exchange
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
13/10/2015 Système d'information régional messagerie sécurisée 30
MESSAGERIE SÉCURISÉEEtablissement utilisant le proxy MSS intégré dans sa messagerie
Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l’établissement.
Il est en capacité de positionner lui-même l’adresse d’émission en fonction des destinataires. Dans le cas où la liste des destinataires
ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l’émission du message vers les
adresses non MSSanté à partir de la BAL MSSanté. L’utilisateur possède une boîte aux lettre unifiée:
1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com
MS Outlook
Thunderbird
Client lourd
Domaine de l’établissement de santé
Relais
SMTP
Internet
MSSantéRelais
SMTPS
Le proxy MSS est intégrée dans la messagerie
Serveur Exchange
2
13/10/2015 Système d'information régional messagerie sécurisée 31
MESSAGERIE SÉCURISÉEEtablissement utilisant le proxy MSS non intégré dans sa messagerie 2
bis
Le service de messagerie unifié permet de gérer à la fois les adresses de messagerie MSSanté et les adresses liées à l’établissement.
Il est en capacité de positionner lui-même l’adresse d’émission en fonction des destinataires. Dans le cas où la liste des destinataires
ne comporte pas que des adresses de destinataires sur des domaines MSSanté, le service doit refuser l’émission du message vers les
adresses non MSSanté à partir de la BAL MSSanté. L’utilisateur possède une boîte aux lettre unifiée:
1-une boîte aux lettres sécurisée et non sécurisée de son établissement @ch-xxxx.com et @ch-xxxx.mssante.com
MS Outlook
Thunderbird
Client lourd
Domaine de l’établissement de santé
Relais
SMTP
Internet
MSSantéRelais
SMTPS
Le proxy MSS n’est pas intégrée dans la messagerie
Serveur Exchange
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
13/10/2015 Système d'information régional messagerie sécurisée 32
MESSAGERIE SÉCURISÉEActeur médico-social, participant au parcours de soins du patient mais n’ayant pas droit à la MSS 3
Création d’une boite aux lettres dans l’espace de confiance Courbaril
L’utilisateur possède deux boîtes aux lettres :
- Une boîte aux lettres nominative sécurisée [email protected]
MS Outlook
Thunderbird
Client lourd
Domaine de l’établissement de santé Domaine de confiance Courbaril
Client Web
Athu sécurisée
Athu sécurisée
Relais
SMTPZimbra
Server
Compte unifié
Courbaril
Athu sécurisée
13/10/2015 Système d'information régional messagerie sécurisée 33
MESSAGERIE SÉCURISÉEProfessionnel de santé hébergeant sa messagerie sécurisée au niveau régional
L’établissement de santé dispose d’une messagerie unifiée sécurisée dans les espaces de confiance courbaril et MSS
L’utilisateur possède une boîte unifiée sur deux domaines :
1-une boîte aux lettres sécurisée de [email protected]
2-Une boîte aux lettres nominative sécurisée [email protected]
MS Outlook
Relais
SMTPS
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
Thunderbird
Client lourd
Professionnel de santé Domaine de confiance Courbaril
MSSantéClient Web
Athu sécurisée
Athu sécurisée
Relais
SMTPZimbra
Server
Compte unifié
Courbaril
Athu sécurisée
4
Proxy
apicryptApicrypt
13/10/2015 Système d'information régional messagerie sécurisée 34
MESSAGERIE SÉCURISÉEGestion des boites non nominatives
• l’établissement peut faire le choix de déployer que des boites organisationnelles et applicatives et /ou des boîtes aux lettres nominatives.
• Le format du domaine de messagerie est le suivant :• Domaine : chx-x.mssante.fr
• Boîte aux lettres nominative : [email protected]
• Boîte aux lettres organisationnelles : [email protected]• Exemple : [email protected]
• Boîte aux lettres applicatives : [email protected]
13/10/2015 Système d'information régional messagerie sécurisée 35
MESSAGERIE SÉCURISÉEEnvoi des CR depuis un DPI
Labo
DPI
Radio CR
HL7 , HPRIM
HL7 , ORU , ORMHL7 , CDA R2
ENRS Professionnels de santé
11 33
44
55
MSS professionnel de santé
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Certificats CPS
Comptes MSS
BUS Applicatif 22
Envoi des mails signés
Domaine de confiance ASIPDPI
13/10/2015 Système d'information régional messagerie sécurisée 36
MESSAGERIE SÉCURISÉEEnvoi des CR depuis un DPI
• Les cas d’usage retenus résultent de l’analyse des flux d’échange ville-hôpital pour chaque établissement .
• Périmètre : Envoi des comptes rendus (hospitalisation, opératoires, consultation, laboratoire , compte rendus d’imagerie médicales …) issus de leur Dossier Patient Informatisé (DPI).
• Mise en place d’un connecteur au niveau du DPI permettant :
• 1-signature des comptes rendus par le professionnel de santé
• 2-connaître la liste des destinataires possédant une messagerie MSS , interrogation de l’annuaire local MSS de la plateforme Courbaril.
• 3-Envoi vers les destinataires à travers le proxy MSS.
• 4-Réception des accusées de réception
• 5- historisation au niveau du DPI
13/10/2015 Système d'information régional messagerie sécurisée 37
AGENDA� Présentation Fonctionnelle de la messagerie
sécurisée
� Présentation de la suite Zimbra
� Présentation des fonctionnalités Idéo Securemail
� Cas d’usage
� Architecture technique
� Présentation du proxy MSS
� dimensionnement
� Trajectoire du projet
13/10/2015 Système d'information régional messagerie sécurisée 38
LE PROXY MSSArchitecture du proxy MSS
• gère les messages MSSanté en offrant une interface unique d’accès au compte pour les utilisateurs à travers le web mail ou à travers le client des messagerie des établissements de santé dont le GCS est opérateur MSS
• gère également la correspondance entre les adresses internes du domaine et les adresses MSSanté.
• Dans le cas où la liste des destinataires ne comporte pas que des adresses de destinataires sur des domainesMSSanté, le Proxy MSSanté doit refuser l’émission du message vers les adresses non MSSanté à partir de laBAL MSSanté.
• L’annuaire local du Proxy MSS est synchronisée avec Idéo Directory pour avoir une vue unifiée depuis le portail pour la fiche des professionnels de santé
• l’annuaire local Proxy MSS est synchronisée quotidiennement avec l’annuaire national MSSanté
L’architecture Idéo MSS est un Proxy Opérateur MSS couplé à la solution Idéo Securemail pour offrir à l’ensemble des utilisateurs une interface unifié d’échange de messagerie sécurisée ou non. Elle répond aux critères suivants :
13/10/2015 Système d'information régional messagerie sécurisée 39
LE PROXY MSSArchitecture du proxy MSS
Zimbra
Server
Compte
unifié
ZimbraDESKTOP
Ajax Web Client
MS Outlook
zSync
zSync
MAPI
Proxy MSSanté
Annuaire Local
MSSanté
Liste Blanche
Client messagerie
Certificats CPS
Relais
SMTP
Relais
SMTPS
Courbaril
MSSanté
Domaine de messagerie de l’ENRS Guadeloupe
AnnuaireMSSanté
Synchronisation de l’annuaire
MSS santé
13/10/2015 Système d'information régional messagerie sécurisée 40
ARCHITECTURE TECHNIQUEMessagerie
Afin de répondre aux Normes HDS, l’architecture s’appuyer s ur le stockage SAN pour stocker les boîtes aux lettres. Nousutiliserons la réplication des baies de stockage SAN pour ré pliquer sur le deuxième site l’espace de stockage propre àZimbra.
Relais SMTP
Proxy
Apycript
Proxy MSS
Relais SMTP(s)
DMZ
Salle 1LUN ZIMBRA
Service Zimbra en
fonctionnement Relais SMTP
Proxy
Apycript
Proxy MSS
Relais SMTP(s)
DMZ
Salle 2LUN ZIMBRA
Service Zimbra en
attente
Réplication des LUN(s)
Bascule de S1 vers S2
13/10/2015 Système d'information régional messagerie sécurisée 41
AGENDA� Présentation Fonctionnelle de la messagerie
sécurisée
� Présentation de la suite Zimbra
� Présentation des fonctionnalités Idéo Securemail
� Cas d’usage
� Architecture technique
� Présentation du proxy MSS
� dimensionnement
� Trajectoire du projet
13/10/2015 Système d'information régional messagerie sécurisée 42
TRAJECTOIRE PAR ÉTABLISSEMENT
Etape
1Etape
2Etape
3Etape
4
Cadrage du
projetPréparation
Mise en
œuvre
Usages
spécifiques
13/10/2015 Système d'information régional messagerie sécurisée 43
PLANNING GÉNÉRAL
A M J J A S O N D J F M A M J J A S O N D J
2015
Pilo
tage
du
Proj
etPl
an P
roje
t Ty
pe M
SS
Oct Nov Déc Jan Fév Mai JuinAvrilMars
1-Cadrage
2-Préparation
3-Mise en œuvre
4 : usages spécifiques
Généralisation
Accompagnement
Pilotage du Projet
Mobilisation Lancement de Projet
Clef de lecture
Gouvernance globale du Projet
Chantiers
Comité de Suivi de Projet (bimensuel)
Comité de Pilotage stratégique (mensuel)
Comité Opérationnel (selon besoins)
Etape
♦♦♦
T0
T0 + 6 mois
2016
13/10/2015 Système d'information régional messagerie sécurisée 44
MÉTHODOLOGIE DE MISE EN ŒUVRE
Etape 1 : cadrage
Description des travaux
Résultats et livrables� Dossier d’architecture technique)
� Plan de configuration
� Dossier d’installation
� Dossier d’exploitation
� Mise en place du processus de support par le GCS
� Présentation du projet aux établissements
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
− A Forbin – Directeur GCS
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape
1
Etape
2
Etape
3
Etape
4
� Présentation du projet aux établissements de santé
� Identifier les sponsors du projet
� Audit du SI en lien avec la MSS ( DPI , messagerie )
� Choix du modèle d’implémentation
� Choix de l’architecture technique
� Organisation du Plan projet
� liste des cations amener par l’établissement , le GCS , l’éditeur de l’établissement
� Comité de pilotage
13/10/2015 Système d'information régional messagerie sécurisée 45
MÉTHODOLOGIE DE MISE EN ŒUVRE
Etape 2 : préparation
Description des travaux
Résultats et livrables� Un service pilote opérationnel
� Etape de cadrage validé
� Equipe projet Etablissement nommé
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
− A Forbin – Directeur GCS
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape
1
Etape
2
Etape
3
Etape
4
� Le choix du modèle est validé
� Le domaine est choisie
� Impact au niveau du SI
� Impact réseaux
� Contacts techniques
� Déterminer les types de boîtes aux lettres sécurisées à créer
� Mise en place des correspondances
� Mise en place des boîtes aux lettres organisationnelles
� Mise en place des boîtes applicatives
13/10/2015 Système d'information régional messagerie sécurisée 46
MÉTHODOLOGIE DE MISE EN ŒUVRE
Etape 3 : mise en œuvre technique
Description des travaux
Résultats et livrables
� Organisation des travaux avec les éditeurs− DPI , autres
� Intégration avec le modèle choisie
� Intégration du client de messagerie
� Préparation des annuaires et synchronisation avec l’annuaire régionale
� Mise en place des règles de sécurité
� Préparer le cahier de test
� Paramétrage par le GCS
� Dossier technique de l’établissement
� Cas par cas
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
− A Forbin – Directeur GCS
� IDO-in− J Sénéchal – Project Manager
− CP établissements
Planning
Etape
1
Etape
2
Etape
3
Etape
4
13/10/2015 Système d'information régional messagerie sécurisée 47
MÉTHODOLOGIE DE MISE EN ŒUVRE
Etape 4 : Usages spécifiques
Description des travaux
� Plan de communication
� Documentation utilisateurs
Résultats et livrables
� Communiquer auprès des utilisateurs� informer les professionnels de santé
� Usages spécifiques
� Cas par cas
Pré requis et contraintes
Acteurs
� GCS Archipel− N Boulet- Responsable sécurité et infrastructure
− A Forbin – Directeur GCS
� IDO-in− J Sénéchal – Project Manager
− CP : établissement
Planning
Etape
1
Etape
2
Etape
3
Etape
4
13/10/2015 Système d'information régional messagerie sécurisée 48
Merci