Gestion des identités et des accès : les clés pour comprendre

Gestion des identités et des accès : les clés pour comprendre

En phase avec l’évolution du monde, le secteur hospitalier vit sa révolution numérique. La digitalisation des établissements de santé avance notamment dans le cadre du plan ministériel Hôpital Numérique 2012-2017. Le développement et la modernisation des SIH sont aujourd’hui un enjeu majeur de la transformation du système de santé et de l’amélioration de l’organisation des soins. Néanmoins cette numérisation de l’hopital ne va pas sans poser des questions au plan de l’éthique et de la sécurité. De nombreux agents et dirigeants des hôpitaux de France s’interrogent régulièrement sur la gestion des identités et des accès aux systèmes d’information hospitaliers. Questions-réponses dans un domaine au coeur de l’Etablissement de santé d’aujourd’hui.

La gestion d’identité et des accès, c’est quoi ?

La gestion d’identité et des accès (IAM : Identity and Access Management) est désormais indissociable du fonctionnement digitalisé des entreprises comme des institutions. Il s’agit de répondre à des questions simples mais essentielles à la confidentialité des informations traitées : “ qui est qui, qui fait quoi, qui a besoin de quoi, qui donne le droit à qui ? ”. Cette gestion des droits d’accès repose sur la notion au cas par cas du « besoin d’en connaître ». Aucun système de gestion numérique ne peut aujourd’hui s’affranchir d’une solution sérieuse de gestion des identités et des accès.

Sur quoi s’appuie l’identification ?

Au sein des établissements de santé, l’identification des personnels rassemble les informations personnelles et professionnelles nécessaires à la gestion des droits d’accès. Le nom, le prénom, la fonction, la spécialisation et le service d’affectation permettent par exemple la création d’un compte d’accès et son suivi durant tout le cycle de vie de la personne concernée au sein du Centre Hospitalier. Qu’implique la mise en place d’une solution IAM ? Cette mise en place est un processus d’entreprise au coeur du fonctionnement hospitalier de demain. Elle repose sur six piliers intangibles :

La gouvernance des identités et des accès

L’identification de l’agent hospitalier

L’authentification de son accès au Système d’Information de Santé

L’octroie du droit d’accès aux différents niveaux du SI hospitalier

La mise en place d’outil et de services de gestion des identités et des accès

Un outil de contrôle des procédures, des identités et des droits accordés

La sécurité du système repose sur la gestion rigoureuse de ces six piliers et sur le contrôle permanent de toute la structure. Une solution IAM efficace ne peut s’affranchir d’une possibilité d’audit de tous les niveaux d’implications. Cela suppose notamment une grande traçabilité des actions.

Où sont stockées ces informations ?

Les identités et les informations les caractérisant sont réunies dans un référentiel central sous forme d’annuaire. L’authentification d’un acteur au sein de cet annuaire permet la maitrise des accès au Système d’information de Santé. Cet annuaire, véritable référentiel des identités santé, peut, selon la nature du système d’information sollicité, revêtir une portée locale ou nationale. A l’échelle de l’établissement de santé, cet annuaire devient un prérequis indispensable pour que chaque agent puisse exercer. Renseigné par le service des ressources humaines de l’établissement, il permet l’attribution de droits d’accès aux agents conformes à leur métier et à leur unité fonctionnelle d’affectation. L’annuaire est donc la clé de voûte du système de gestion d’identité et des accès.

Sur quoi s’appuie l’authentification des personnels de santé ?

Les règles en la matière font l’objet d’un référentiel édité par le ministère des affaires sociales et de la santé. Ce référentiel d’authentification des acteurs de santé s’inscrit dans le cadre de la politique générale de sécurité des systèmes d’information de santé qui prévoit une harmonisation des règles en vigueur. Comme toujours, le système se base sur le couple identifiantauthentifiant. La politique de numérisation du ministère de la santé privilégie le concept d’authentification forte. Il s’agit de sécuriser l’accès des systèmes d’information santé, par une procédure d’identification au moyen par exemple d’une carte de professionnel de santé (CPS) ou d’un dispositif authentification alternatif mais relevant de l’authentification forte.

Quels sont les authentifiants possibles ?

La preuve de l’identité du requérant peut être basée sur un ou plusieurs des éléments d’authentification suivants : un mot de passe, une carte à puce ou un certificat électronique, mot de passe à usage unique (token OTP et carte matricielle OTP) outil de connexion, boite électronique, biométrie ou signature manuscrite. Plus le nombre d’éléments d’authentification utilisés lors d’une opération est élevé, plus cette dernière est fiable. A partir de deux, l’authentification est considérée comme forte.

Que recoupe la notion d’habilitation ?

L’habilitation se fonde sur la notion de besoin d’accès à une information. Son niveau au sein du système d’information santé doit avoir pour seul leitmotiv de donner accès à un niveau d’information en total adéquation avec le travail et les responsabilités de chaque agent au sein de la structure de santé. Sa finalité est insi d’assurer à chaque agent hospitalier les droits nécessaires et suffisants à l’exercice de son activité. L’appréciation de cette notion suppose donc une connaissance très fine par le service RH concerné des besoins de chaque poste au sein de la structure.

L’authentification est-elle réservée aux personnes physiques ?

Non. L’authentification des personnes morales vis-à-vis d’un système d’information de santé est un enjeu important de la politique d’accès à ces derniers. Celle-ci s’effectue au moyen d’une bi-clé d’authentification dont la clé publique est attribuée par une Autorité de Certification identifiée dans le Référentiel des autorités de certification éligibles pour l’authentification publique dans le secteur de la santé.

La protection des données personnelles est-elle assurée ?

Les éléments d’identification des personnes de santé ne sont recueillis que dans un cadre strictement légal lié à la sécurité des systèmes d’informations de santé. L’Agence des Systèmes d’information Partagés santé (ASIP Santé) distribue les agréments des hébergeurs de données de santé et surveille les conditions et modalités de déploiement des systèmes d’information du secteur médico-social.

Les offres des industriels sont-elles encadrées ?

Oui. Le ministère des affaires sociales et de la santé a édité un certains nombres de référentiels qui permettent aux industrielsde bâtir leurs solutions de développement et leurs produits en conformité avec les attentes de celui-ci. Le respect de ces référentiels donne lieu à des homologations.

Les agents hospitaliers ne risquent-ils pas de crouler sous les codes d’accès ?

Au quotidien, les personnels de santé ont besoin d’accéder à de nombreux logiciels fonctionnels (prescription pharmaceutique, gestion administrative du dossier patient et gestion de la qualité notamment). Cet empilement de systèmes à sécuriser ne doit pas nuire à la simplicité de l’accès des agents. Le concept Single Sign-On (SSO) permet à ces derniers de s’authentifier une seule fois pour toute la durée d’une session et d’accéder à leurs applications et leurs données sans avoir à ressaisir leur nom d’utilisateur et mot de passe

Shares
Share This