La branche Opérations scientifiques et médicales de sanofi-aventis sécurise l'accès à son système collaboratif en extranet avec ADAM et MIIS
Afin d'offrir à ses collaborateurs internes et externes un espace de travail adapté au suivi des études cliniques tout en protégeant la confidentialité des échanges, la branche Opérations scientifiques et médicales de sanofi-aventis a constitué un extranet composé de plusieurs applications réunies au sein d'un portail. La gestion des identités et des droits d'accès est assurée par le méta-annuaire MIIS et le service d'annuaire d'ADAM de Microsoft, deux solutions qui ont permis de renforcer la sécurité tout en diminuant la charge de travail liée à l'administration.
« Le couple ADAM-MIIS nous a permis de mettre en place une solution fiable et centralisée de réplication de compte, parfaitement adaptée à un environnement Extranet. Le tout dans un cadre parfaitement sécurisé avec un point d'entrée unique pour l'administration, ce qui contribue à une diminution significative des tâches de maintenance. »
Thomas Rodde, Chef de projet chez sanofi-aventis Opérations scientifiques et médicales
Présent dans plus de 100 pays à travers les cinq continents, sanofi-aventis est aujourd'hui le premier groupe pharmaceutique européen. En constante évolution, le groupe s'appuie sur une recherche internationale pour se développer dans sept domaines thérapeutiques majeurs : cardiovasculaire, thrombose, oncologie, diabète, système nerveux central, médecine interne et vaccins. C'est précisément dans ce cadre et afin de fluidifier les échanges entre les collaborateurs internes et externes que la société a mis en place un portail collaboratif. « L'objectif était de proposer un espace de travail virtuel en extranet sous la forme d'un portail aux personnes qui participent aux études cliniques », précise Thomas Rodde, coordinateur technique du projet chez sanofi-aventis Opérations scientifiques et médicales. L'étude clinique est une étape préalable à la commercialisation d'un nouveau produit pendant laquelle des tests sont pratiqués afin de vérifier les effets secondaires et l'efficacité du médicament. Elle implique généralement une équipe constituée du personnel interne à la branche Opérations scientifiques et médicales sanofi-aventis qui assure notamment le suivi ainsi que d'un grand nombre de personnes dispersées géographiquement dans des cabinets médicaux, hôpitaux, etc. « D'une étude clinique à l'autre, les personnes impliquées dans les tests varient énormément, explique Thomas Rodde, et c'est donc pour limiter les tâches d'administration que nous avons décidé de mettre en place un annuaire de compte unique à disposition des applications de l'Extranet» Par définition, la recherche pharmaceutique est un univers hautement sécurisé pour des raisons à la fois de compétitivité et de réglementations très strictes sur la diffusion d'informations relatives aux médicaments notamment. La mise en uvre d'un espace collaboratif composé de plusieurs applications en extranet, donc ouvert à des collaborateurs internes et externes, impliquait donc la mise en place de solutions très fines de gestion des droits d'accès avec des systèmes d'authentification fiables. En adoptant Microsoft Identity Integration Server (MIIS) combiné au service d'annuaire intégré à Windows Server 2003 Active Directory Application Mode (ADAM), sanofi-aventis Opérations scientifiques et médicales s'est non seulement dotée d'une solution de gestion des droits d'accès hautement sécurisée mais également d'une plate-forme centralisée, simple à administrer et à mettre à jour.
Industrialiser pour simplifier l'administration
La solution retenue par sanofi-aventis répond à deux principales contraintes. Les droits des utilisateurs internes étant déjà répertoriés au sein d'annuaires internes, la société voulait éviter d'avoir à reconstruire et alimenter un nouvel annuaire dédié aux applications du portail en extranet à partir de rien. Nouvel annuaire dont les droits attribués à chaque utilisateur devaient, quelle que soit la solution retenue, être impérativement conformes aux droits définis en interne. À titre d'exemple, si un employé de sanofi-aventis quittait la société, la suppression de ses droits dans les annuaires de la société devrait être automatiquement et aussitôt répercutée dans l'annuaire du portail en extranet. La seconde contrainte qui a conduit à la combinaison de MIIS à ADAM était plus liée à la gestion des utilisateurs externes : la branche Opérations scientifiques et médicales sanofi-aventis voulait en effet mettre en place une administration décentralisée des comptes, c'est à dire permettre aux personnes les plus proches des utilisateurs de mettre à jour les données liées aux personnes.
Ces deux contraintes ont mis en évidence l'avantage de l'approche du méta-annuaire, solution dotée de mécanismes de synchronisation de données entre annuaires. Avec MIIS, sanofi-aventis Opérations scientifiques et médicales répercute en effet toutes les modifications effectuées sur ses annuaires internes, principalement sur des serveurs Active Directory et Sun One Directory Server, dans l'annuaire du portail conçu à l'aide d'ADAM. Moins connu que son grand frère Active Directory, ADAM a été spécialement conçu pour répondre aux besoins applicatifs des entreprises. Il s'exécute comme un service faiblement couplé à l'infrastructure sous-jacente sous-jacent et, de ce fait n'impose pas les mêmes contraintes qu'une infrastructure Active Directory sur un contrôleur de domaine. « En d'autres termes, estime Wassel Guerbaa, directeur associé chez Kernel Networks, cabinet d'ingénierie dans la gestion des identités, la sécurité et la messagerie qui a mis en uvre le projet de sanofi-aventis, ADAM est la solution idéale pour constituer un référentiel d'application indépendant de tout système d'exploitation et capable de s'interfacer avec des applications tierces via ses connecteurs LDAP (protocole normalisant l'accès aux annuaires) ou natifs. À terme chez sanofi-aventis, ADAM a pour vocation de servir d'annuaire unique à toutes les applications de l'extranet, raison pour laquelle nous avions vraiment besoin d'une solution réellement indépendante de tout logiciel ou système. »
Un projet géré en trois temps
Débutée en janvier 2004, la première phase du projet qui a duré environ un mois a été consacrée à la définition des processus et des besoins, opération qui a ensuite permis de définir l'architecture globale. Dans un second temps, la société a étudié, testé et sélectionné les solutions du marché pendant environ deux à trois mois avant de retenir le couple MIIS-ADAM et finaliser les spécifications de l'architecture. La mise en place proprement dite a duré environ trois mois : installation de l'annuaire ADAM, puis de MIIS sur deux serveurs distincts, le premier étant dans une DMZ (« zone démilitarisée », zone ni publique ni interne) avec les applications du portail tandis que le second est derrière, dans le réseau LAN de la société. Les mécanismes de synchronisation de MIIS ont également été réalisés à cette occasion : MIIS extrait dans un premier temps ses données des annuaires Active Directory de la branche Opérations scientifiques et médicales de sanofi-aventis pour les charger dans l'annuaire du portail ADAM. Chaque entrée d'ADAM (ou données relatives à un utilisateur) est ensuite enrichie de nouvelles données émanant du serveur Sun One Directory, lequel ne contient que des données téléphoniques (annuaire téléphonique uniquement). Grâce à cette double synchronisation, l'annuaire du portail rassemble dans un référentiel unique toutes les informations relatives à un utilisateur ainsi que son mot de passe.
« Dans certain cas, nous avons dû réaliser quelques programmes en Visual Basic pour affiner les mécanismes de synchronisation, explique Thomas Rodde, mais de manière générale, tout a été plutôt facile de ce côté là, MIIS proposant de nombreuses trames qu'il suffit de réutiliser. Les difficultés, nous les avons surtout rencontrées sur les implémentations spécifiques de LDAP par certaines applications de l'extranet. » Un second lot de développement sur deux mois prévoyait encore quelques évolutions. Fin novembre l'architecture était opérationnelle. Le projet ne concerne que 3 000 utilisateurs internes, avec une base de comptes de 8000 entrées dans ADAM auxquelles il faut encore ajouter les utilisateurs externes dont le nombre est légèrement inférieur. Une interface permet aux administrateurs délocalisés de gérer les droits des utilisateurs externes avec lesquelles ils sont en contact. « Grâce à cette architecture, précise Thomas Rodde, nous ne faisons les choses qu'une seule fois, MIIS se charge ensuite de propager les modifications sur l'annuaire de l'extranet. Pour les responsables de la sécurité et de l'administration, cette synchronisation contribue à une diminution de notre charge de travail. Elle permet surtout d'avoir la certitude que les droits d'un utilisateur sont toujours à jour quelle que soit l'application utilisée puisque les mécanismes de synchronisation de MIIS propagent toute modification automatiquement, y compris les mots de passe. » C'est d'ailleurs ces synchronisations de mots de passe qui ont en partie conduit sanofi-aventis à retenir la solution MIIS-ADAM.
Une solution plus économique et performante
Particulièrement délicate, la propagation de mots de passe est en effet souvent difficile en raison du chiffrement opéré par les annuaires propriétaires ou spécifiques à une application lors de leur saisie par l'utilisateur. Un mot de passe chiffré n'est qu'un condensé parfaitement inutile si l'on ne possède pas la clef de déchiffrement. Le propager sur les autres annuaires n'a donc aucun intérêt sauf si on possède la clef de déchiffrement ou qu'on arrive à intercepter le mot de passe « en clair » entre le moment où l'utilisateur le saisit et le chiffrement. Parfaitement intégré à Active Directory, MIIS dispose d'un connecteur natif et de mécanismes lui permettant de récupérer ces mots de passe pour ensuite les synchroniser sans nuire à leur protection par chiffrement. «Mais ce n'est pas le seul avantage de MIIS, souligne Wassel Guerbaa. À terme, tous les utilisateurs de sanofi-aventis Opérations scientifiques et médicales seront référencés par le méta-annuaire, ce qui devrait représenter près de 100 000 entrées. La plupart des concurrents facturent leur solution au nombre de comptes (ou utilisateurs). Microsoft applique une tarification au processeur. Concrètement, sur le long terme, MIIS coûtera beaucoup moins cher que n'importe quelle autre solution concurrente. » Enfin, pour le directeur associé de Kernel Networks, le connecteur natif entre Active Directory et MIIS est bien plus performant qu'un connecteur LDAP et offre surtout un plus grand nombre de fonctionnalités dont notamment la possibilité de provisionner (ou alimenter) des comptes dans Active sans oublier, bien entendu, cette propagation du mot de passe, opération complexe mais néanmoins fondamentale pour mener à bien un projet de ce type.
A propos de sanofi-aventis
Sanofi-aventis est le 3ème groupe pharmaceutique mondial et le numéro 1 en Europe. Le Groupe sanofi-aventis s'appuie sur une recherche internationale pour se développer dans sept domaines thérapeutiques majeurs : le cardiovasculaire, la thrombose, le cancer, les maladies métaboliques, le système nerveux central, la médecine interne et les vaccins. Sanofi-aventis est côté à Paris (EURONEXT : SAN) et à New-York (NYSE : SNY).
www.sanofi-aventis.com
À propos de Kernel Networks
Cabinet d'ingénierie et de conseil spécialisé dans l'optimisation des processus techniques et métiers, créé en 1996. Aujourd'hui, la société a particulièrement développé un savoir-faire dans le domaine de la gestion d'identité, de la messagerie et de la sécurité. Premier intégrateur de MIIS (Microsoft Identity Integration Server) et d'ADAM en France, Kernel Networks est la seule société francophone agréée pour dispenser la formation MIIS et constitue dans ce cadre le partenaire privilégié de Microsoft pour les projets de gestion d'identité et d'habilitation.
www.kernel-networks.fr
Configuration matérielle
| CPU | Bi-processeur Xeon 2 Ghz (un pour SQL Enterprise, un pour MIIS) |
| Taille disque | 2 disques SCSI de 40 Go |
| Contrôleur | 1 Contrôleur Raid |
| Taille | RAM 1 Go |
| Cartes réseaux | 2 Ethernet 100 Base T adapters |
Configuration logicielle
| Système d'exploitation | Windows Server 2003 Server Entreprise Edition |
| Méta-annuaire | MIIS 2003 Entreprise Edition for 1 CPU |
| SGBD | SQL 2000 Enterprise Server |
| Annuaire | Active Directory in Application Mode (inclus dans la licence Windows 2003) |
