Publicité en cours de chargement...
DPI de GHT : habilitations et contrôles, partie IV
Premier point : les administrateurs ne sont pas seulement des personnels de la DSI ; la notion désigne toute personne qui dispose de droits étendus sur un logiciel. Dans le cas d’un DPI, il faut y ranger une partie des personnels d’un DIM, certains référents fonctionnels métiers, les admin système bien entendu, mais aussi les ingénieurs applicatifs en charge des entrepôts de données, et pas mal de personnels de recherche (la création tous azimuts des entrepôts de données médicales pour la recherche, plus ou moins formalisée, est un défi de taille pour tous les GHT adossés à un CHU).
Deuxième point : disons-le tout net, si vous pensez qu’il est possible d’interdire l’accès à des données sensibles à tout ce beau monde, vous vous trompez lourdement. Il y a toujours quelqu’un qui possède les clés de la boutique, et les seuls dispositifs qui évitent cet écueil fonctionnent sur des systèmes de quorum (il faut deux clés sur trois pour ouvrir la boîte), mais cela induit un retard considérable dans l’accès à la donnée, donc aux interventions de maintenance, donc à la disponibilité des logiciels, donc à la sécurité du patient. Et en plus, cela coûte un bras. Fin du débat.
Cela étant, entre ne rien faire et tout bloquer, le curseur peut bouger, et on peut – on doit – encadrer ces accès. Un beau jour dans pas longtemps, un contrôleur quelconque, interne ou externe, viendra exiger des DSI qu’elles mettent en place des dispositifs d’encadrement de ces accès : autant anticiper ce qui de toute manière finira immanquablement par arriver.
Premièrement, il faut former tous ces agents. Formation obligatoire à l’arrivée dans la fonction (on est nul dans les DSI sur ce point), révision annuelle des personnels formés (car ils bougent), et formation par des Mooc tout au long de l’année. J’aime beaucoup celui de l’Anssi(5), qui est remarquablement bien construit, mais si des lecteurs ont d’autres exemples, je suis preneur. Ensuite, il faut faire signer les profils de postes adéquats, et éventuellement une charte admin ou un engagement de confidentialité. Point suivant, il faut que toutes ces personnes aient accès à une expertise SSI en cas de question pointue, et il va forcément s’en poser : ai-je le droit de lancer telle requête ? Un chef de service me demande telle extraction, est-elle légitime ?, etc. Enfin il faut contrôler a minima les accès tous les ans, ce qui est le point le plus complexe dans la mesure où les outils utilisés (accès direct aux bases, SAS, etc.) ne permettent pas toujours une traçabilité facilement exploitable. Et, j’allais oublier, tous ces agents disposent d’un compte admin nominatif, et surtout distinct de leur compte agent.
Certes, il y a des trous dans la raquette, mais ce dispositif est assez léger à mettre en place, ne coûte pas bien cher et surtout permet de démontrer la bonne foi de l’institution en cas de contrôle.
(1) /article/2834/dpi-de-ght-habilitations-et-controles-partie-i.html
(2) /article/2844/dpi-de-ght-habilitations-et-controles-partie-ii.html
(3) /article/2850/dpi-de-ght-habilitations-et-controles-partie-iii.html
(4) Administrateur de base de données.
Avez-vous apprécié ce contenu ?
A lire également.

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS
01 juil. 2025 - 00:00,
Actualité
- DSIHLa 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Le 8ème opus des guides cyber-résilience de l’APSSIS est en ligne !
30 juin 2025 - 20:50,
Communiqué
- APSSISL’APSSIS a le plaisir d’annoncer la publication du 8ème opus des Guides Cyber-résilience à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, ces guides se veulent à la fois accessibles, techniques et pratiques.
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...