Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

GHT : le projet de SSO est-il une priorité dans la convergence SI ?

27 nov. 2017 - 16:50,
Tribune - Cédric Cartau
Ça y est, pas mal de GHT ont déjà démarré les travaux de convergence de leur SI… Bon, OK, je reformule, pas mal de GHT ont déjà démarré les travaux de réflexion sur ce qui va devoir converger ou pas, et dans quel ordre. Bon, OK, OK, je reformule encore : pas mal de GHT ont commencé les réunions des DSI, ça vous va ?

Blague à part, sur la partie SI, si convergence il y a, nous sommes tous d’accord pour que l’initiative revienne aux métiers. De quel droit, en effet, un informaticien pourrait affirmer qu’il faut converger vers un logiciel RH unique pour la future DRH de territoire ? Si DRH de territoire il y a d’ailleurs, rien n’est moins sûr d’après ce que mes immenses oreilles me rapportent d’ici ou de là. Quand un GHT marie King Kong (un gros CH) et trois Petits Poucet (des Ehpad), certes nous concevons que le premier va facilement absorber la fonction RH des trois autres (selon le théorème d’Audiard, qui stipule que quand les types de 130 kg parlent, ceux de 60 kg les écoutent[1]). Mais quand les forces sont un peu plus équilibrées et que des CH de taille importante se trouvent dans la corbeille, c’est moins trivial. Et surtout cela prendra un peu plus de temps. Bref, dans tous les cas, c’est le métier qui commande et la DSI qui réalise, et pas l’inverse. 

Cela étant, pour les projets sécurité SI, c’est un peu différent. En effet, c’est le RSSI qui est le donneur d’ordres des projets SSI (au même titre que les qualiticiens sont donneurs d’ordres des contraintes qualité, qui sont transversales), sauf si le RSSI a une fonction purement technique – et dans ce cas ce n’est pas un RSSI, mais un responsable sécurité technique, ce qui est différent (et certes utile). La question objet de ce présent article peut donc être reformulée de la sorte : le RSSI a-t-il intérêt à mettre les projets de SSO (Single Sign On) sur le dessus de la pile ? 

Le SSO est une sorte de porte-clés tout clinquant que l’on vous donne en cadeau avec la grosse voiture très chère que vous venez d’acquérir : ça sert, mais ce n’est pas l’essentiel. Le SSO est un sous-ensemble d’un projet plus vaste nommé IAM (Identity and Access Management), que l’on peut résumer de deux façons :

  • La version « manager friendly », qui consiste à automatiser la gestion des identités et des habilitations au sein de l’établissement afin d’optimiser les processus et les ressources dans une optique de synergie des équipes ;
  • La version « unplugged », soit une grosse opération de nettoyage des écuries d’Augias que représente généralement l’annuaire technique de l’établissement (le fameux AD).

En d’autres termes, dans un projet d’IAM, l’enjeu principal est le nettoyage de l’AD (supprimer les identités des agents ayant quitté la structure) et la refonte des processus d’arrivée et de départ des agents pour que l’annuaire RH soit connectable en temps réel à l’AD (la place me manque ici pour décrire tous les impacts, mais dans un CH même de taille moyenne, c’est souvent du sport).

En conclusion, il y a deux réponses à la question posée par l’article. Si le top management est conscient que RH et AD ont besoin d’un petit lifting conjoint, alors c’est par là qu’il faut commencer… et terminer par le SSO (qui peut être vu comme une sorte de bénéfice collatéral d’un projet IAM). Si ce n’est pas le cas, il faut dire que l’on va faire du SSO… et une fois que le top management a tourné la tête, il faut s’attaquer dare-dare au couple RH/AD.

Mais ces considérations ne tiennent pas compte de la situation des autres établissements : si l’établissement support a déjà déployé un projet IAM, les autres établissements n’ont pas d’autre choix (à moins d’être très très joueurs) que d’acquérir la même solution logicielle. Et dans ce cas, exit le SSO, il faudra commencer par le nettoyage RH/AD. Et les questions de circuit de délivrance des habilitations risquent de vous occuper pendant un bon moment.


[1] Cent Mille Dollars au soleil, Henri Verneuil, 1964. Dialogues de Michel Audiard.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.