Sécuriser l’accès aux données médicales sensibles
Leader mondial des tests pharmaceutiques, PAREXEL gère des données médicales sur des milliers de sujets volontaires, pour le compte des plus grands industriels du secteur. Ses exigences de sécurité sont donc très élevées : protection des données sensibles de clients souvent concurrents entre eux, et confidentialité des données médicales des patients. Enfin, les contraintes légales de mise sur le marché exigent que les documents soient « signés » électroniquement par des médecins clairement identifiés.
Le résultat : des procédures très lourdes d’identification manuelle à des centaines d’applications et ressources. Chaque employé devait gérer jusqu’à quinze mots de passe, et les renouveler de façon non synchronisée. PAREXEL a donc décidé de simplifier et renforcer la sécurité d’accès à ses applications. Tous les mots de passe sont remplacés par une authentification unique (single sign-on – SSO), liée à une carte à microprocesseur et détecteur de proximité, ce qui assure de façon simple la sécurité logique, mais aussi physique.
Gestion d’accès physique et logique
PAREXEL a recherché un fournisseur capable de répondre à des contraintes spécifiques en termes techniques, réglementaires et d’organisation. Ainsi, le système devait gérer les employés itinérants sur des dizaines de sites géographiques avec des domaines d’annuaires différents. Et les cartes d’accès, réalisées spécifiquement pour PAREXEL, intègrent plusieurs technologies sans contact pour fonctionner dans plusieurs pays. Après une sélection de fournisseurs leaders du marché, le choix de PAREXEL s’est porté sur la solution IAM Suite Evidian. Une installation pilote a permis de tester avec succès le logiciel sur un échantillon significatif des 600 systèmes et 300 applications de l’entreprise. « Le contact avec les équipes et la direction d’Evidian a été très convaincant » explique Marc Jobert, Corporate VP et Chief Technical Officer de PAREXEL. « Evidian a su prendre en compte nos particularités et nous avons établi un véritable partenariat gagnant-gagnant sur le terrain ».
Déploiement de l’authentification unique
« Quand le conseil d’administration de PAREXEL a donné son feu vert pour le projet, l’argument majeur était l’accroissement de la sécurité. Mais en déployant la solution, nous avons aussi abordé avec Evidian des aspects techniques, réglementaires et humains » explique Marc Jobert. Ainsi, le logiciel Evidian IAM Suite s’est adapté de façon non intrusive à un environnement d’annuaires à plusieurs domaines. Tout en conservant les annuaires élaborés localement, la gestion a pu être centralisée : les administrateurs partagent donc facilement leurs compétences et adaptent le SSO aux nouvelles versions des applications. De même, le système d’authentification d’Evidian s’appuie directement la base de ressources humaines de PAREXEL. Quand un employé quitte l’entreprise, il perd donc aussitôt tous ses droits d’accès, ce qui est un gage de sécurité.
Des utilisateurs convaincus
Pour PAREXEL, il était capital que les utilisateurs adhèrent au projet. Notamment, les personnels de santé aux lourdes responsabilités ne devaient pas ressentir la nouvelle méthode d’accès comme une intrusion. Dans la pratique, formation et psychologie permettent d’assurer un déploiement sans heurts. « En arrivant dans un site, l’équipe du projet commence toujours par un groupe d’utilisateurs ouverts à l’innovation. Ces derniers constatent rapidement qu’ils accèdent deux fois plus vite à leurs applications et se font les avocats naturels de la solution auprès de leurs collègues » révèle Marc Jobert. « Notre filiale au Japon, dernier site à installer le logiciel, a basculé tous ses employés en trois semaines seulement. »
Exigences légales de traçabilité
Les contraintes réglementaires de mise sur le marché imposent aux industriels pharmaceutiques d’assurer l’intégrité des documents de résultats de tests. En tant que sous-traitant, PAREXEL doit donc fournir une chaîne de confiance irréprochable à ses clients, et apporter la preuve de sa fiabilité par des historiques d’accès. Le système d’authentification d’Evidian est un maillon critique de cette chaîne de confiance. Un audit réalisé par un cabinet spécialisé a permis à PAREXEL de s’assurer de la qualité du processus de développement d’Evidian. Procédures internes, séparation de tâches : la robustesse du produit et du fournisseur était un critère majeur de choix.
Objectifs de sécurité atteints
PAREXEL peut à présent mettre en place des procédures adaptées au niveau de sécurité recherché : Evidian IAM Suite se charge de les faire respecter. Ainsi, les mots de passe des applications sont systématiquement masqués aux utilisateurs. Ce sont de longues chaînes de caractères non intuitifs changés très régulièrement. Il est donc impossible à un employé d’accéder à une application sans carte et code PIN. « La solution basée sur Evidian IAM Suite fait maintenant partie de la vie de l’entreprise : à présent, nous utilisons la solution partout. Sur certains sites, la carte d’authentification sert même à régler les repas à la cafétéria » conclut Marc Jobert.
