Serveur réseau GNU/Linux : V2

Réseaux informatiques, postes serveur et client, mode visite.
stoutouloutou
Messages : 17
Inscription : dim. 2 nov. 2014 11:34

Serveur réseau GNU/Linux : V2

Message par stoutouloutou » jeu. 7 janv. 2021 07:25

Bonjour,

En prévision d'une possible panne sur le serveur que nous avions mis en place pour le cabinet comme expliqué ici :
viewtopic.php?f=4&t=3263 , nous préparons une nouvelle machine, et je voulais faire part ici des évolutions mises en œuvre, si cela peut servir à d'autres...

BILAN

Tout d'abord, le serveur actuellement utilisé est toujours le même ( un PC portable CELERON N3050 avec 4 Go de ram et un SSD), il tourne H24 7j/7 depuis fin 2014 sans panne !
Les problèmes que nous avons pu rencontrés (quelques plantages almapro au début) ne sont pas réapparus, (c'était lié au réseau et à des versions non mise à jour d'almapro)

Concerant les logiciels annexes :
  • Nous utilisons la BCB, sans soucis.
  • AFFID est pour l'instant en monoposte. Une utilisation serveur est possible (base de donnée postgresql sur AffidNXT je crois), mais le besoin ne s'est pas encore fait sentir.
  • Apycript fonctionne, les bio sont bien intégrées.
  • Je n 'ai pas eu de remonté de probleme pour cerfadoc (je ne sais pas si c'est utilisé)
EVOLUTION :

Cetaine sont déjà mise en oeuvre sur le serveur, pour d'autres, nous profitons de l'installation d'un nouveau serveur pour les mettre en place :
  • installation sur la même machine d'un serveur OPENVPN afin de pouvoir se servir d'Almapro sans être physiquement au cabinet médical (déjà en place, c'est pas très véloce, mais ça marche !)
  • chiffrement du disque entier et non plus de la partition home (déjà en place)
  • renforcement de la sécurité selon les recommandations de l'ANSSI
  • avec notamment mise en place d'un système d'audit.
La question de la sécurité des données stockées me préoccupe beaucoup :
le choix d'un serveur local et d'un logiciel "local" (dont les données sont stockées localement) est un choix qui se veut (entre autre) protecteur de la confidentialité des données en évitant leur centralisation, à condition que les mesures de sécurités pour empêcher l'accès aux données à des tiers soient mises en place.

Nous sommes notre propre "hébergeur de données de santé", or pour l'instant à ma connaissance il n'y a pas de contrainte forte sur la qualité de la sécurisation de cet hébergement, sinon des recommandations, contrairement aux "hébergeurs de données de santés" qui hébergent des données qui ne sont pas les leurs, qui doivent être certifiés.
https://esante.gouv.fr/labels-certifica ... s-de-sante

Bref, quoi qu'il en soit au niveau réglementaire, il me parait important sur le plan déontologique de mettre en œuvre ce que l'on peut pour protéger les données de santé stockées sur nos machines, et l'on s'est appuyé sur les recommandations de l'ANSSI pour configurer le serveur et les postes clients. (gestion de mot de passe,...), en particulier ces documents :

https://www.ssi.gouv.fr/uploads/2016/01 ... r-v1.2.pdf
et
https://www.ssi.gouv.fr/uploads/IMG/pdf ... teTech.pdf


Je suis donc très embêté par le fait que le mot de passe de la base de donnée qu'utilise Almapro (donc avec toutes les données médicales du logiciel) soit unique pour tous et non modifiable.

Je me permets de tiquer aussi sur la recommandation de configuration du serveur almapro dans les docs, qui, si je ne me trompe pas, préconise de partager les répertoire almapro sans mot de passe ce qui donne accès à des données médicales.

Suis je le seul à m'en inquiéter ?
Des développements sont-il prévus afin de modifier cela ?
Que puis je faire pour soutenir cette demande ??
merci !!

Mise en oeuvre ?

Contrairement à mes intentions et affirmations, je n'ai pas détaillé la procédure d'installation sur le WIKI, je profite de l'occasion pour me rattraper, si vous certains en font la demande : je peux tout à fait mettre les etapes de cette installation et les ptits trucs à quoi penser si on se lance la dedans !

Voila voila.

Ah oui, j'y pense, mais il vaut peut être mieux que j'ouvre un autre fil de discussion, on a mis en place un système pour lire les clefs USB apportés par les patients sans les insérer sur nos PC, là aussi pour des raisons de sécurité.
Système à base de raspberry pi et CIRCLean https://www.circl.lu/projects/CIRCLean/ , le raspberry envoie les fichiers "propres" sur un répertoire partagé sur serveur...

Répondre