Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le piège des habilitations

25 avril 2016 - 18:48,
Tribune - Cédric Cartau
Si je demande à la volée qui doit décider des habilitations IT – s’entend des règles qui définissent quel utilisateur a droit à quoi –, l’auditoire se lève en général comme un seul homme pour répondre : la maîtrise d’ouvrage. Pas si vite, pas si vite, je n’userais pas mon clavier et les yeux de mon rédacteur en chef sur un tel sujet si la réponse était aussi triviale.

Tout d’abord, il y a les composants du SI pour lesquels nous sommes bien en peine de définir une MOA : les partages de fichiers, par exemple. Dès que l’on examine le fonctionnement de cette partie dans une organisation un tant soit peu substantielle (plusieurs centaines, voire milliers de collaborateurs), la question de la politique concernant les partages de fichiers est d’une extrême complexité : qui décide de créer un partage, pour qui, qui décidera des habilitations sur ledit partage, combien de partages au maximum par individu ou par service, quid des partages transversaux ? Sans compter qu’il est impossible, justement, de trouver une MOA unique sur cette question : autant de services, autant de pratiques. Et il en va de même pour la messagerie : boîtes aux lettres de services, etc.

Ensuite, il y a les composants du SI pour lesquels les utilisateurs sont peu nombreux et surtout très éclatés dans l’organisation. Par exemple, SAS (outil sophistiqué de requêtes sur les bases de données métiers) est utilisé par quelques personnes dans un établissement, et jamais deux dans le même service : bon courage pour écrire une politique formelle.

Il y a également les applications avec un seul utilisateur : dans ce cas, la solution est simple, sauf quand l’utilisateur en question quitte son poste – mutation ou départ de l’entreprise. Là, il va falloir « rejouer le film » de l’historique au successeur. Vous pouvez en effet être certain que dans la phase de passage des dossiers (lorsqu’il y en a une) la question informatique passe très souvent à la trappe. Et je passe les cas où l’attribution technique (une fois la décision politique prise) nécessite un ou plusieurs allers et retours entre des équipes différentes, tel ce progiciel GEF qui nécessite à la fois la création d’un compte Unix et d’un compte au sein de l’application.

En outre, il y a la myriade de progiciels qui concernent l’ensemble de l’activité de l’entreprise. Certes, les gros progiciels métiers (RH, gestion économique et financière, comptabilité, cœur de métier) sont couverts en termes de politique d’habilitation formalisée du fait de leur ancienneté. Mais il y a tout le reste : à titre d’exemple, dans mon organisation nous avons recensé non moins de 105 applicatifs divers, répartis dans environ 75 groupes (certains sont des modules d’un même progiciel), le tout étant susceptible de concerner une population de 305 profils distincts (dont certains ne sont bien entendu concernés que par quelques progiciels). Pour chacune des cases dudit tableau, il faut en sus définir un représentant de la MOA et un référent nommé à la DSI : à titre d’exemple encore, sur 105 applications, seules 73 ont un référent DSI désigné, et moins du tiers une MOA identifiée. Sans parler du fait que, pour celles dont le référent DSI ou MOA n’est pas connu, avant de répondre à la question : « Quel nom je mets dans la case ? » ; il faut d’abord répondre à la question : « Qui pourra répondre à la question ? » Vous avez suivi ? 

Enfin, toujours pour chaque case, il faut renvoyer vers un autre tableau qui soit répond à la question de l’accès par Oui/Non, soit renvoie vers une matrice encore plus complexe, quand ce n’est pas vers une instance spécifique, comme l’accès aux données médicales dans le Dossier patient informatisé.

Simple les habilitations ?

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

Sylvain Delair rejoint l’Anap et dirige la nouvelle cellule Data

14 mai 2025 - 16:59,

Communiqué

- ANAP

Sylvain Delair, directeur d’hôpital, prend la tête de la nouvelle cellule Data de l’Anap. Après avoir créé la Direction Data du CHU de Grenoble, il met son expertise au service de l’ensemble des établissements en contribuant à renforcer l’offre Data de l’Anap.

Illustration Maincare-IC : la nouvelle ère du dossier patient au Centre hospitalier de la Région de Saint-Omer

Maincare-IC : la nouvelle ère du dossier patient au Centre hospitalier de la Région de Saint-Omer

11 mai 2025 - 18:29,

Actualité

- DSIH,

Le Centre hospitalier de la Région de Saint-Omer, dans le Pas-de-Calais, a entrepris de renouveler son dossier patient informatisé en adoptant Maincare-IC, une solution de dernière génération proposée par l’éditeur Maincare. Trois acteurs clés du déploiement exposent les avancées réalisées, les défi...

Illustration TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

TVA : Maîtriser une réglementation complexe, fluidifier ses ressources financières.

09 mai 2025 - 15:31,

Communiqué

- ANAP

L’Anap publie un guide et un outil numérique d’aide à la décision pour permettre aux établissements de maîtriser la TVA, optimiser leurs flux et trouver facilement les dispositions applicables à leur situation.

Illustration À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

À l’ère de l’IA conversationnelle, l’intégration de Dragon Medical One à Philips SpeechLive reconnecte médecins et secrétaires

08 mai 2025 - 14:46,

Communiqué

-
Philippe VEMCLEFS

Utilisée par plus de 10 000 structures de santé à travers le monde dont 550 000 médecins (1), Dragon Medical One (DMO) est la solution de reconnaissance vocale médicale la plus reconnue, tant chez les médecins spécialistes que chez les radiologues. Devenue une référence incontournable dans le secteu...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.