Publicité en cours de chargement...
DPI de GHT : habilitations et contrôles, partie IV
Premier point : les administrateurs ne sont pas seulement des personnels de la DSI ; la notion désigne toute personne qui dispose de droits étendus sur un logiciel. Dans le cas d’un DPI, il faut y ranger une partie des personnels d’un DIM, certains référents fonctionnels métiers, les admin système bien entendu, mais aussi les ingénieurs applicatifs en charge des entrepôts de données, et pas mal de personnels de recherche (la création tous azimuts des entrepôts de données médicales pour la recherche, plus ou moins formalisée, est un défi de taille pour tous les GHT adossés à un CHU).
Deuxième point : disons-le tout net, si vous pensez qu’il est possible d’interdire l’accès à des données sensibles à tout ce beau monde, vous vous trompez lourdement. Il y a toujours quelqu’un qui possède les clés de la boutique, et les seuls dispositifs qui évitent cet écueil fonctionnent sur des systèmes de quorum (il faut deux clés sur trois pour ouvrir la boîte), mais cela induit un retard considérable dans l’accès à la donnée, donc aux interventions de maintenance, donc à la disponibilité des logiciels, donc à la sécurité du patient. Et en plus, cela coûte un bras. Fin du débat.
Cela étant, entre ne rien faire et tout bloquer, le curseur peut bouger, et on peut – on doit – encadrer ces accès. Un beau jour dans pas longtemps, un contrôleur quelconque, interne ou externe, viendra exiger des DSI qu’elles mettent en place des dispositifs d’encadrement de ces accès : autant anticiper ce qui de toute manière finira immanquablement par arriver.
Premièrement, il faut former tous ces agents. Formation obligatoire à l’arrivée dans la fonction (on est nul dans les DSI sur ce point), révision annuelle des personnels formés (car ils bougent), et formation par des Mooc tout au long de l’année. J’aime beaucoup celui de l’Anssi(5), qui est remarquablement bien construit, mais si des lecteurs ont d’autres exemples, je suis preneur. Ensuite, il faut faire signer les profils de postes adéquats, et éventuellement une charte admin ou un engagement de confidentialité. Point suivant, il faut que toutes ces personnes aient accès à une expertise SSI en cas de question pointue, et il va forcément s’en poser : ai-je le droit de lancer telle requête ? Un chef de service me demande telle extraction, est-elle légitime ?, etc. Enfin il faut contrôler a minima les accès tous les ans, ce qui est le point le plus complexe dans la mesure où les outils utilisés (accès direct aux bases, SAS, etc.) ne permettent pas toujours une traçabilité facilement exploitable. Et, j’allais oublier, tous ces agents disposent d’un compte admin nominatif, et surtout distinct de leur compte agent.
Certes, il y a des trous dans la raquette, mais ce dispositif est assez léger à mettre en place, ne coûte pas bien cher et surtout permet de démontrer la bonne foi de l’institution en cas de contrôle.
(1) /article/2834/dpi-de-ght-habilitations-et-controles-partie-i.html
(2) /article/2844/dpi-de-ght-habilitations-et-controles-partie-ii.html
(3) /article/2850/dpi-de-ght-habilitations-et-controles-partie-iii.html
(4) Administrateur de base de données.
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...