Publicité en cours de chargement...
Référentiel d’identification électronique – An 0
Le référentiel est découpé en plusieurs documents selon la population adressée : usagers, personnes morales, personnes physiques, etc. Le but est évidemment d’adresser le scope le plus large de toutes les personnes qui sont amenées à se connecter à un logiciel hébergeant de la donnée médicale. Sont ainsi concernés aussi bien les fournisseurs de services SaaS à l’ensemble des usagers (la prise de rendez-vous avec Maiia, par exemple), bien évidemment le DMP, que les établissements de santé non seulement pour leurs usagers (on pense aux portails patients), mais pour leurs propres agents. Bon, on peut en résumer le principe de la sorte : pour se connecter à des données de santé, c’est la fin du bricolage, va falloir utiliser des mécanismes à l’état de l’art, propres, sécurisés, en double authentification dans la plupart des cas. Jusque-là, rien d’étonnant, c’est le sens de l’histoire.
À lire aussi : Les référentiels ISO, pas si simples
C’est après que les choses se compliquent. Le corpus documentaire mentionné traite évidemment d’un large panel de cas d’usages, mais le propos de cet article concerne « juste » (si j’ose dire) le cas d’usage des accès à un SI hospitalier. Quiconque s’est déjà attaqué sur le terrain à ce sujet sait qu’il est l’illustration parfaite de la loi de Pareto : vous allez assez rapidement régler 80 % des situations, mais pour aller chercher les 20 % restantes, ça ne va pas être de la tarte.
Déjà, le corpus documentaire susnommé n’adresse que la question de l’identification/authentification à un bout du SI. Il ne traite pas de la question des habilitations. Il est assez facile (toutes proportions gardées) de connecter son boîtier VPN à l’annuaire CPS pour permettre à tous les détenteurs de cartes CPS de se connecter à votre SI, mais si c’est pour se retrouver devant un écran vide une fois connectés, cela va leur faire une belle jambe. Pour accéder à une donnée médicale, il faut avoir réglé trois questions : l’ouverture de session, l’ouverture d’une connexion à un logiciel métier et l’attribution des bonnes habilitations. Les deux premières étapes peuvent être fusionnées dans certains cas et sont justement adressées par le référentiel objet de l’article, mais pas la troisième. Et la question des habilitations est d’une rare complexité : en mars 2021 j’ai publié un guide de cyberrésilience (opus 3[2]) exclusivement dédié à ce sujet : il fait plus de 70 pages, et certains des aspects de la question ont juste été effleurés.
Mais surtout, le problème de tous les référentiels qui ont tenté d’adresser le sujet est d’apporter un cadre (certes nécessaire) pour régler, on l’a vu, 80 % des cas, mais sans aucunement aborder les 20 % restants. Un exemple : dans tous les Éhpad de France, une partie des médecins qui interviennent sont des médecins de ville externes à l’établissement, voire SOS Médecins pour les cas d’urgence. Je veux bien que l’on me montre l’Éhpad qui a mis en place le processus suivant : accueil du médecin intervenant pour SOS Médecins, contrôle en face à face de l’identité, attribution d’un identifiant nominatif, habilitation de cet identifiant au dossier du patient qu’il vient consulter (ou à la carte CPS du médecin, c’est pareil à ce stade), révocation de l’identité ou de la carte CPS dans le DPI une fois le médecin parti. Le tout bien entendu en mode 24-365. Autre exemple : avec la tension sur certains métiers tels les soignants (dont certains ne sont pas des professions à ordre, notamment les aides-soignants, donc sans cartes CPS), les établissements font appel à des plateformes type Hublo pour des remplacements de dernière minute. Là aussi, je veux bien que l’on me montre l’établissement, petit ou gros, qui est en mesure de jouer le même processus que pour les médecins, parfois pour un professionnel qui arrive à 20 h 55 pour prendre un poste de nuit à 21 heures. Le tout en mode multisite et bien entendu 24-365.
Paradoxalement, plus on « sécurise » les accès des personnels en situation « standard » (CDI, posté, affectation stable, etc.), et plus on est obligé de faire du gloubi-boulga avec les exceptions, qui ne sont pas si exceptionnelles : création de pool d’identifiants génériques (jamais supprimés) avec des mots de passe tout pourris qui ne sont jamais changés, attribués à des personnes pour lesquelles le processus de vérification d’identité est aussi fréquent que le passage de la comète de Halley, et dont la formation à un DPI interne (c’est juste la base) est faite (quand elle est faite) en 2 minutes chrono.
On arrive à la situation totalement ubuesque où certains individus (notamment les personnels des éditeurs qui font de la télémaintenance, les personnels en remplacement de dernière minute, etc.) non identifiés disposent d’un accès plus large que l’agent interne qui pourtant tente d’être le bon élève de la pièce de théâtre. La situation, de ce point de vue, s’est même dégradée depuis dix ans puisque la tension sur les personnels et les services de soins conduit immanquablement à faire l’impasse sur des processus internes « standards » ; c’est une forme d’effet de loupe.
Certes, le référentiel susmentionné n’y est pour rien (des situations administratives ou de soins « en tension » conduisent à dégrader certains processus), mais le fait est là : on bute depuis plus de 15 ans sur ce même problème.
Bonne semaine quand même.
[1] https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire
[2] https://www.apssis.com/nos-actions/publication/
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Un code de bonnes pratiques pour les modèles d'IA à usage général
15 juil. 2025 - 16:57,
Actualité
-Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...