Publicité en cours de chargement...
Accès au SNDS, quelques bizarreries
En substance, le SNDS est une base nationale centralisée, qui agrège les données de l’assurance maladie, des établissements de santé et (à partir de septembre) des causes médicales de décès. Nul doute que le nombre de sources va s’étendre à terme, et si les données sont protégées par des systèmes d’anonymisation pointus, tous les spécialistes du secteur s’accordent à penser qu’il est impossible de garantir qu’un jeu de données extrait du SNDS ne permettra jamais de remonter à quelque patient que ce soit : cet entrepôt de données est donc sensible, d’où la présentation en question supposée expliquer aux parties prenantes les conditions d’accès, assez draconiennes du reste.
Il existe deux façons d’accéder au SNDS : soit un accès à la base centrale, soit un export vers un système local à l’établissement usager (système fils), les utilisateurs travaillant ensuite sur cet export. Les conditions d’accès au système central sont complexes, celles qui permettent un export vers un système fils plus encore, ce qui est logique.
Pour l’accès au SNDS central, il faut en substance :
- Garantir l’accès au système par un processus formalisé de gestion des identités et des habilitations : circuit administratif comprenant une autorité d’enregistrement et une instance de certification, signature des documents contractuels internes, etc. ;
- Garantir la sensibilisation des utilisateurs : formation obligatoire, signature d’une charte, etc.
Pour l’utilisation d’un système fils, les conditions sont les mêmes que celles imposées à l’hébergeur du SNDS central, à savoir en plus des contraintes ci-dessus : audits réguliers, traçabilité des accès et exploitation des traces.
Dans les deux cas, le recours à un CIL est obligatoire, de même que le respect des principaux référentiels en vigueur (PSSI-MCAS, etc.).
Ce qui étonne le plus, dans toute cette armada de précautions, c’est que l’accès au SNDS central par les utilisateurs des organismes disposant d’un accès de droit se fait… par une simple authentification login/password, donc faible. Alors que le SNDS exige que le poste de travail soit conforme aux exigences de la PSSI-MCAS (en gros, PC maîtrisé par l’organisme), un simple login/password suffit à l’accès. D’une part, il est évident que les mots de passe vont se prêter (et celui qui prétend le contraire n’a clairement pas mis les pieds sur le terrain depuis la guerre du Péloponnèse) ; d’autre part, il est au moins aussi évident que les utilisateurs… vont accéder au système depuis chez eux (exit la maîtrise du PC). Sans parler des risques de fuite de données puisque les établissements ne maîtriseront pas ces accès non tracés.
L’ensemble des confrères RSSI présents à la réunion (le CHU Bouillabaisse, le CHU Canari, le CHU Promenade des Anglais, le CHU Crêpe normande et j’en oublie) ont unanimement fait part à la Drees, en séance, de leur inquiétude à ce sujet. Il leur a été promis de « remonter la question ».
Ça rassure drôlement.
Avez-vous apprécié ce contenu ?
A lire également.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...