Le contenu de cette page n'est disponible qu'en anglais. Sélectionnez le bouton de la langue EN dans le coin supérieur droit de l'écran pour le consulter.

Le nouveau système de gestion des accès des entités « EAM 3.0 » de HD repose sur une architecture conçue pour redonner le contrôle des utilisateurs aux gestionnaires d'accès, en garantissant une gestion de bout en bout du cycle de vie d'un utilisateur dans le système.

La nouvelle architecture et les processus qui l'accompagnent impliquent de nouveaux concepts. Nous les avons répertoriés ci-dessous, complétés par des concepts plus familiers.

Access Manager

Un Access Manager (Gestionnaire d'Accès) est un Utilisateur Authentifié ayant des droits supplémentaires de Gestionnaire d'Accès dans le système EAM. Ces droits sont accordés par healthdata.be au premier gestionnaire d'accès d'une organisation donnée. Tout gestionnaire d'accès supplémentaire doit être désigné par le fournisseur de données et les droits doivent être accordés par le gestionnaire d'accès existant de cette organisation.

Un Gestionnaire d'Accès valide et gère les comptes d'utilisateurs dans le système Entity Access Management, approuve et gère les accès de ces utilisateurs EAM aux différentes applications pour tous les projets disponibles, et a le pouvoir de créer des utilisateurs EAM et des comptes EAM au moyen d'un téléchargement en masse de fichiers csv.

Compte (Compte EAM)

Un compte dans EAM 3.0 est une combinaison d'une adresse e-mail et d'une disposition complétée par un ensemble de droits (autorisations d'accès) donnant accès à un certain registre. Un compte relie donc l'utilisateur de EAM au registre souhaité dans une application.

Un utilisateur peut avoir plus d'un compte, chacun avec une adresse e-mail différente, par exemple lorsqu'il travaille dans différents organismes de soins de santé (HCP), et chacun avec une autre disposition.

Statut du compte

L'aperçu ci-dessous montre les différents statuts d'un compte EAM tout au long du flux de travail.

La colonne Label mentionne le nom du bouton d'action disponible pour l'utilisateur authentifié et/ou le gestionnaire d'accès dans les écrans GUI concernés. (Seules les actions Create New Draft et Request approval sont disponibles pour un utilisateur authentifié).

Admin

L'Admin ou administrateur fait partie du personnel de healthdata.be et dispose de toutes les autorisations et fonctionnalités au sein du système EAM. Ce type d'utilisateur doit être utilisé avec parcimonie et uniquement à des fins hautement techniques ou en cas d'urgence.

Authenticated User

Un Utilisateur Authentifié est une personne qui est connectée au système EAM via itsme ou eID et qui a un profil d'utilisateur basé sur le prénom, le nom et le code NISS partagé lors de la connexion via le Federal Authentication Service (FAS). Un Utilisateur Authentifié est en mesure d'accéder à l'application EAM, de créer des comptes et de demander des autorisations d'accès, et il a accès à ses propres informations de compte au cas où des modifications seraient nécessaires.

Author Group

Un Author Group (groupe d'auteurs) est un groupe d'utilisateurs disposant des mêmes droits d'édition et de révision d'un enregistrement dans une application donnée de l'organisation. La création d'un groupe d'auteurs est basée sur le prénom et le nom de l'utilisateur qui demande l'accès. Il est ensuite géré dans le système Entity Access Management (EAM) de HD.

Pour l'application HD4DP2, le champ Author group est automatiquement rempli pour les Rôles Utilisateur 1 (Study Lead) et 2 (Study Associate). Le groupe d'auteurs pour le rôle 3 (Study Support) doit être sélectionné dans la liste déroulante correspondante.

FAS

Le Federal Authentication Service (FAS) est un système qui authentifie les personnes pour leur permettre d'accéder à des applications gouvernementales sécurisées en ligne. Il garantit l'authenticité des utilisateurs avant de leur permettre d'utiliser les services protégés de l'administration en Belgique.

Grants (Access grants)

Les Grants (droits d'accès) définissent l'accès d'un utilisateur à un registre dans une certaine application avec un rôle spécifique. Ils sont ajoutés à un compte EAM provisionné et doivent être approuvés par le gestionnaire d'accès de l'organisation concernée. Exemple :

Legacy requests

L'onglet « Legacy requests » permet de récupérer les informations affichées sous l'onglet « Requests overview » dans la version précédente de EAM (2.7). L'objectif de cet aperçu est d'assurer le suivi des demandes en suspens après la migration vers EAM 3.0.

Manager (HD Manager)

Le Manager est un type d'utilisateur dans EAM qui fait partie du personnel du Service Desk de healthdata.be. Par rapport à un Access Manager, le Manager a des droits plus étendus pour des actions avancées, sans avoir les fonctionnalités d'urgence d'un Admin.

Messages (log)

Les messages sont créés chaque fois que des actions sont effectuées au niveau du compte EAM, par exemple la réinitialisation du mot de passe, la demande d'approbation du compte, l'approbation des grants, etc. Un message est la représentation d'une commande que nous envoyons ou recevons du Service bus. Les messages sont enregistrés dans EAM à des fins d'archivage.

Organisations

Au complet : Organisations de soins de santé (HCO). Une liste de toutes les organisations comprenant le nom, le numéro INAMI et la liste respective des gestionnaires d'accès est gérée par le Manager de HD. Une organisation qui n'est plus active recevra le statut Désactivé, sans être supprimée du système EAM.

Provision

La provision est le déploiement d'une certaine application dans une certaine organisation, accompagnée de paramètres spécifiques fournissant des informations supplémentaires sur le déploiement.

Service Bus

Il s'agit d'une couche de communication entre notre portail EAM et les installations du côté du DP. Alors que l'ancien système EAM gérait principalement les demandes d'accès, le nouveau portail EAM 3.0 se concentre sur la gestion complète des utilisateurs, y compris les demandes d'accès, la création de comptes, la boucle de rétroaction, etc. dans le but d'accélérer l'intégration des utilisateurs, d'améliorer l'expérience des utilisateurs et de réduire les interventions manuelles par le service Support / DevOps.

User (EAM user)

L'utilisateur est l'entité principale du système EAM. Une fois que le profil de l'utilisateur, contenant des informations de base telles que le nom d'utilisateur, l'adresse e-mail principale, le prénom, le nom de famille, le NISS et le code INAMI professionnel, a été validé, l'utilisateur a accès à EAM et est prêt à interagir. EAM 3.0 offre la possibilité d'ajouter plus d'un code INAMI. Chaque utilisateur peut être lié à plusieurs comptes.

User matrix

En général, une Matrice Utilisateur est une manière structurée d'organiser les informations sur les utilisateurs et leur champ d'action. Nous avons utilisé la Matrice Utilisateur comme point de départ de notre documentation sur le nouveau système de gestion de l'accès des entités : un tableau croisé des différentes fonctionnalités des types d'utilisateurs Utilisateur Authentifié et Gestionnaire d'Accès. A partir de là, vous pouvez accéder aux informations exactes.

User roles

Les Rôles Utilisateur déterminent vos droits d'accès aux applications de HD telles que HD4DP2 ou healthstat.be pour le projet souhaité. La hiérarchie des rôles ne correspond pas nécessairement à la structure du personnel de votre organisation. Pour en savoir plus sur les rôles utilisateur dans HD4DP2, cliquez ici.

User types

Les Types d'Utilisateurs font référence aux droits d'administrateur au sein de EAM, et non aux rôles utilisateur qui s'appliquent au niveau d'une application telle que HD4DP2 ou healthstat.be. Voici quelques exemples de types d'utilisateurs :

• Authenticated user
• Validated user (rôle migré depuis EAM 2.7)
• Access manager
• (HD) Manager
• Administrator

Validated user

Type d'utilisateur. Peut être trouvé dans l'aperçu des utilisateurs EAM après avoir migré des utilisateurs validés de EAM 2.7 vers EAM 3.0. Ce type d'utilisateur migré correspond à celui d'un utilisateur authentifié dans EAM 3.0.

After migration of your healthcare organisation from EAM 2.7 to EAM 3.0, the Access Manager might notice the user type of Validated user in the Role(s) column on the EAM Users overview page. Après la migration de votre organisation de soins de santé de EAM 2.7 vers EAM 3.0, le gestionnaire d'accès peut remarquer le type d'utilisateur « Validated user » dans la colonne « Role(s) » de la page de vue d'ensemble des utilisateurs de EAM.

L'étiquette « Validated user » est un vestige de la version 2.7 de EAM, où elle indiquait que le profil d'un utilisateur avait été complété et validé par le gestionnaire d'accès. Ce type d'utilisateur migré correspond au type d'utilisateur authentifié dans EAM 3.0. En tant que tel, le « Validated user » ne joue pas un rôle actif dans EAM 3.0 et n'influence pas la fonctionnalité deEAM 3.0.

Cette documentation est encore en construction. Nous essayons de présenter les informations aussi correctes, complètes et aussi claires que possible. Cependant, si vous voyez un élément dans la documentation qui est incorrect, ne correspond pas à votre expérience ou nécessite des éclaircissements supplémentaires, veuillez créer ticket support via notre portail (https://healthdatabe.atlassian.net/servicedesk/customer/portals) ou nous envoyer un e-mail à support.healthdata@sciensano.be pour signaler ce problème de documentation. N'oubliez pas d'inclure l'URL ou l'adresse Web de la page avec le problème de documentation. Nous ajusterons ensuite la documentation. Merci!

• Can an Access Manager see the other Access Managers within the own organisation?
  • Yes. When an Access manager consults the list of EAM Users via the EAM menu at the top-left of the screen, the exact role of the users will be displayed in the column Role(s). Access Managers will have the role "Access manager". If no role is mentioned, you can consider the relevant user to be an Authenticated User.

• Can an Access Manager see the other Access Managers within the own organisation?
  • Yes. When an Access manager consults the list of EAM Users via the EAM menu at the top-left of the screen, the exact role of the users will be displayed in the column Role(s). Access Managers will have the role "Access manager". If no role is mentioned, you can consider the relevant user to be an Authenticated User.

Le service healthdata.be (Sciensano) traite chaque rapport d'incident conformément à une procédure appelée "Standard Operating Procedure (SOP)". Une version publique de cette procédure, intitulée "HD Incident Management Process" est également disponible sur ce portail : docs.healthdata.be.

Pour signaler un incident lié aux registres et aux applications en production, facilités ou gérés par le service healthdata.be de Sciensano, vous devez d'abord vous connecter au portail HD Service and Support : Jira Service Management (JSM).

Vous trouverez ici plus d'informations sur la manière de créer un compte.

Une fois connecté, vous accéderez à la page d'accueil du portail.

Pour créer un ticket, cliquez sur « Create a Support ticket » sur la page d'accueil.

La page ci-dessous s'affichera. Une fois que vous aurez rempli tous les champs obligatoires, cliquez sur « Send ».

Pour soumettre une demande sur la plateforme healthdata.be, vous devez d'abord vous connecter au portail Services et Support de HD: Jira Service management (JSM) portal.

Après l'étape de connexion, vous arriverez sur la page principale du portail.

Sur la page principale, vous devez sélectionner « Demander quelque chose ».

QUEL EST LE PROBLÈME ?

Nous bloquons les e-mails de votre organisation parce que la configuration de vos services de messagerie et/ou de DNS peut permettre aux spammeurs/pirates informatiques d'en abuser. Plus précisément, votre configuration actuelle permet à d'autres expéditeurs d'usurper l'identité de votre organisation en leur permettant d'imiter le « Header From» de l'e-mail de votre organisation.

En d'autres termes, ils peuvent envoyer des messages de phishing et de spam qu'il est impossible de distinguer des e-mails authentiques de votre organisation.

Si vous êtes responsable de la gestion de votre infrastructure TIC, lisez ce qui suit. Sinon, transmettez ce message à votre département TIC ou au service TIC qui gère votre infrastructure TIC.

COMMENT RÉSOUDRE LE PROBLÈME ?

Vous devez vérifier que votre configuration répond aux exigences de sécurité du « Sender Alignment ». Plus précisément, vos services de messagerie et votre DNS doivent être configurés conformément aux normes TIC.

Ces configurations sont courantes, bien documentées et prises en charge par les hébergeurs :

• https://dmarcian.com/alignment/
• https://mxtoolbox.com/dmarc/spf/spf-alignment
• https://o365info.com/how-does-sender-verification-work-how-we-identify-spoof-mail-the-fiveheros-spf-dkim-dmarc-exchange-and-exchange-online-protection-part-9-of-9/

Nous avons constaté que ce problème est fréquent dans les organisations qui ont déplacé leur infrastructure TIC vers des services en Cloud tels que Microsoft (O365), Amazon, Google et MS Azure sans configurer correctement l'infrastructure TIC (qui n'est pas gérée par ces fournisseurs).

Les configurations et les recommandations doivent être mises en œuvre sur l'infrastructure TIC du client, qu'elle soit interne ou externe. Les DNS et les services de messagerie sont les principales plateformes TIC pour ces actions.

L'UTILISATION DE DIFFÉRENTS DOMAINES LORS DE L'ENVOI D'E-MAILS

Les e-mails contiennent une « Envelope From » et un « Header From ». Les deux doivent correspondre pour éviter que l'e-mail ne soit bloqué.

Quelques exemples :

1. Un service public utilise son nouveau nom de domaine dans le « Header From » en son ancien nom de domaine dans l'« Envelope From ».

• Envelope From = noreply@publicservice.fgov.be
• Header From = noreply@publicservice.belgium.be

➔ Ces e-mails seront bloqués.

Remarque : Comme il s'agit d'une adresse « noreply », l'expéditeur ne remarquera même pas que l'e-mail est rejeté.

2. Une organisation utilise un service Cloud (Freshservice) pour son outil d'assistance et l'« Envelope From » n'a pas été modifié.

• Envelope From = bounces+us.3.52773-helpdesk=organisation.be@emailus.freshservice.com
• Header From = helpdesk@organisation.be

➔ Ces e-mails seront bloqués.

3. Une entreprise utilise un service Cloud (Amazon SES) pour envoyer la notification de l'envoi et « Envelope From » n'a pas été modifié.

• Envelope From = 01020188573f374-96de6437-9134-45f4-8aa6-3e9ac18d5848-000000@euwest-1.amazonses.com
• Header From = noreply@company.be

➔ Ces e-mails seront bloqués.