Publicité en cours de chargement...
DPI de GHT : habilitations et contrôles, partie IV
Premier point : les administrateurs ne sont pas seulement des personnels de la DSI ; la notion désigne toute personne qui dispose de droits étendus sur un logiciel. Dans le cas d’un DPI, il faut y ranger une partie des personnels d’un DIM, certains référents fonctionnels métiers, les admin système bien entendu, mais aussi les ingénieurs applicatifs en charge des entrepôts de données, et pas mal de personnels de recherche (la création tous azimuts des entrepôts de données médicales pour la recherche, plus ou moins formalisée, est un défi de taille pour tous les GHT adossés à un CHU).
Deuxième point : disons-le tout net, si vous pensez qu’il est possible d’interdire l’accès à des données sensibles à tout ce beau monde, vous vous trompez lourdement. Il y a toujours quelqu’un qui possède les clés de la boutique, et les seuls dispositifs qui évitent cet écueil fonctionnent sur des systèmes de quorum (il faut deux clés sur trois pour ouvrir la boîte), mais cela induit un retard considérable dans l’accès à la donnée, donc aux interventions de maintenance, donc à la disponibilité des logiciels, donc à la sécurité du patient. Et en plus, cela coûte un bras. Fin du débat.
Cela étant, entre ne rien faire et tout bloquer, le curseur peut bouger, et on peut – on doit – encadrer ces accès. Un beau jour dans pas longtemps, un contrôleur quelconque, interne ou externe, viendra exiger des DSI qu’elles mettent en place des dispositifs d’encadrement de ces accès : autant anticiper ce qui de toute manière finira immanquablement par arriver.
Premièrement, il faut former tous ces agents. Formation obligatoire à l’arrivée dans la fonction (on est nul dans les DSI sur ce point), révision annuelle des personnels formés (car ils bougent), et formation par des Mooc tout au long de l’année. J’aime beaucoup celui de l’Anssi(5), qui est remarquablement bien construit, mais si des lecteurs ont d’autres exemples, je suis preneur. Ensuite, il faut faire signer les profils de postes adéquats, et éventuellement une charte admin ou un engagement de confidentialité. Point suivant, il faut que toutes ces personnes aient accès à une expertise SSI en cas de question pointue, et il va forcément s’en poser : ai-je le droit de lancer telle requête ? Un chef de service me demande telle extraction, est-elle légitime ?, etc. Enfin il faut contrôler a minima les accès tous les ans, ce qui est le point le plus complexe dans la mesure où les outils utilisés (accès direct aux bases, SAS, etc.) ne permettent pas toujours une traçabilité facilement exploitable. Et, j’allais oublier, tous ces agents disposent d’un compte admin nominatif, et surtout distinct de leur compte agent.
Certes, il y a des trous dans la raquette, mais ce dispositif est assez léger à mettre en place, ne coûte pas bien cher et surtout permet de démontrer la bonne foi de l’institution en cas de contrôle.
(1) /article/2834/dpi-de-ght-habilitations-et-controles-partie-i.html
(2) /article/2844/dpi-de-ght-habilitations-et-controles-partie-ii.html
(3) /article/2850/dpi-de-ght-habilitations-et-controles-partie-iii.html
(4) Administrateur de base de données.
Avez-vous apprécié ce contenu ?
A lire également.

France 2030 : l’appel à projets “Pionniers de l’IA” ouvre de nouvelles perspectives pour les hôpitaux
29 sept. 2025 - 13:08,
Communiqué
- Ministère de l'Enseignement supérieur et de la RechercheLe programme France 2030 continue de stimuler l’innovation en France. Le ministère de l’Enseignement supérieur et de la Recherche a récemment lancé l’appel à projets “Pionniers de l’intelligence artificielle”, destiné à soutenir des technologies d’IA de rupture dans des secteurs stratégiques, dont l...
On trouve tout à la Samaritaine – y compris des caméras, mais pas encore un EBM
29 sept. 2025 - 10:43,
Tribune
-Alors OK, elle est hyperfacile, mais impossible de résister, d’autant que j’ai dû aller chercher quelques vieilles publicités de l’époque (ma préférée ici 1), quelle époque épique tout de même !
Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.
22 sept. 2025 - 22:16,
Tribune
-Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique
22 sept. 2025 - 11:46,
Communiqué
- Speech Processing SolutionsSpeech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.