Publicité en cours de chargement...

Publicité en cours de chargement...

Référentiel d’identification électronique – An 0

14 juin 2022 - 11:50,
Tribune - Cédric Cartau
Nous n’avions pas encore eu le temps de l’évoquer, mais en avril dernier l’ANS a publié un corpus documentaire qui a fait l’objet de pas mal de discussions entre les experts du secteur : le référentiel d’identification électronique[1].      

Le référentiel est découpé en plusieurs documents selon la population adressée : usagers, personnes morales, personnes physiques, etc. Le but est évidemment d’adresser le scope le plus large de toutes les personnes qui sont amenées à se connecter à un logiciel hébergeant de la donnée médicale. Sont ainsi concernés aussi bien les fournisseurs de services SaaS à l’ensemble des usagers (la prise de rendez-vous avec Maiia, par exemple), bien évidemment le DMP, que les établissements de santé non seulement pour leurs usagers (on pense aux portails patients), mais pour leurs propres agents. Bon, on peut en résumer le principe de la sorte : pour se connecter à des données de santé, c’est la fin du bricolage, va falloir utiliser des mécanismes à l’état de l’art, propres, sécurisés, en double authentification dans la plupart des cas. Jusque-là, rien d’étonnant, c’est le sens de l’histoire.

À lire aussi : Les référentiels ISO, pas si simples

C’est après que les choses se compliquent. Le corpus documentaire mentionné traite évidemment d’un large panel de cas d’usages, mais le propos de cet article concerne « juste » (si j’ose dire) le cas d’usage des accès à un SI hospitalier. Quiconque s’est déjà attaqué sur le terrain à ce sujet sait qu’il est l’illustration parfaite de la loi de Pareto : vous allez assez rapidement régler 80 % des situations, mais pour aller chercher les 20 % restantes, ça ne va pas être de la tarte.

Déjà, le corpus documentaire susnommé n’adresse que la question de l’identification/authentification à un bout du SI. Il ne traite pas de la question des habilitations. Il est assez facile (toutes proportions gardées) de connecter son boîtier VPN à l’annuaire CPS pour permettre à tous les détenteurs de cartes CPS de se connecter à votre SI, mais si c’est pour se retrouver devant un écran vide une fois connectés, cela va leur faire une belle jambe. Pour accéder à une donnée médicale, il faut avoir réglé trois questions : l’ouverture de session, l’ouverture d’une connexion à un logiciel métier et l’attribution des bonnes habilitations. Les deux premières étapes peuvent être fusionnées dans certains cas et sont justement adressées par le référentiel objet de l’article, mais pas la troisième. Et la question des habilitations est d’une rare complexité : en mars 2021 j’ai publié un guide de cyberrésilience (opus 3[2]) exclusivement dédié à ce sujet : il fait plus de 70 pages, et certains des aspects de la question ont juste été effleurés.

Mais surtout, le problème de tous les référentiels qui ont tenté d’adresser le sujet est d’apporter un cadre (certes nécessaire) pour régler, on l’a vu, 80 % des cas, mais sans aucunement aborder les 20 % restants. Un exemple : dans tous les Éhpad de France, une partie des médecins qui interviennent sont des médecins de ville externes à l’établissement, voire SOS Médecins pour les cas d’urgence. Je veux bien que l’on me montre l’Éhpad qui a mis en place le processus suivant : accueil du médecin intervenant pour SOS Médecins, contrôle en face à face de l’identité, attribution d’un identifiant nominatif, habilitation de cet identifiant au dossier du patient qu’il vient consulter (ou à la carte CPS du médecin, c’est pareil à ce stade), révocation de l’identité ou de la carte CPS dans le DPI une fois le médecin parti. Le tout bien entendu en mode 24-365. Autre exemple : avec la tension sur certains métiers tels les soignants (dont certains ne sont pas des professions à ordre, notamment les aides-soignants, donc sans cartes CPS), les établissements font appel à des plateformes type Hublo pour des remplacements de dernière minute. Là aussi, je veux bien que l’on me montre l’établissement, petit ou gros, qui est en mesure de jouer le même processus que pour les médecins, parfois pour un professionnel qui arrive à 20 h 55 pour prendre un poste de nuit à 21 heures. Le tout en mode multisite et bien entendu 24-365.

Paradoxalement, plus on « sécurise » les accès des personnels en situation « standard » (CDI, posté, affectation stable, etc.), et plus on est obligé de faire du gloubi-boulga avec les exceptions, qui ne sont pas si exceptionnelles : création de pool d’identifiants génériques (jamais supprimés) avec des mots de passe tout pourris qui ne sont jamais changés, attribués à des personnes pour lesquelles le processus de vérification d’identité est aussi fréquent que le passage de la comète de Halley, et dont la formation à un DPI interne (c’est juste la base) est faite (quand elle est faite) en 2 minutes chrono.

On arrive à la situation totalement ubuesque où certains individus (notamment les personnels des éditeurs qui font de la télémaintenance, les personnels en remplacement de dernière minute, etc.) non identifiés disposent d’un accès plus large que l’agent interne qui pourtant tente d’être le bon élève de la pièce de théâtre. La situation, de ce point de vue, s’est même dégradée depuis dix ans puisque la tension sur les personnels et les services de soins conduit immanquablement à faire l’impasse sur des processus internes « standards » ; c’est une forme d’effet de loupe.

Certes, le référentiel susmentionné n’y est pour rien (des situations administratives ou de soins « en tension » conduisent à dégrader certains processus), mais le fait est là : on bute depuis plus de 15 ans sur ce même problème.

Bonne semaine quand même.


[1] https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire

[2] https://www.apssis.com/nos-actions/publication/ 


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé. 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

Le consortium AGORiA Santé en partenariat avec BIOGROUP obtient la 1ère autorisation de la CNIL permettant d’associer des données de biologie et du SNDS (système national des données de santé)

22 juil. 2025 - 10:23,

Communiqué

- Biogroup & Agoria Santé

le 21 juillet 2025 – Le consortium AGORiA Santé est autorisé par la CNIL (Commission nationale de l'informatique et des libertés) à enrichir sa plateforme, entrepôt de données de santé système fils SNDS, avec des données d’analyses de biologie médicales issues du réseau BIOGROUP. Créé en 2021, le co...

Illustration Un code de bonnes pratiques pour les modèles d'IA à usage général

Un code de bonnes pratiques pour les modèles d'IA à usage général

15 juil. 2025 - 16:57,

Actualité

-
Marguerite Brac de La Perrière

Entré en vigueur le 1er août 2024, le Règlement sur l'Intelligence Artificielle (AI Act) vise à créer un cadre juridique uniforme pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d'IA dans le respect des valeurs de l’Union. Parmi les systèmes d'IA encadré...

Illustration Le numérique médico-social : mutation systémique et levier d’humanité

Le numérique médico-social : mutation systémique et levier d’humanité

08 juil. 2025 - 01:07,

Actualité

- DSIH

Longtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Illustration Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient

08 juil. 2025 - 00:49,

Actualité

- Maellie Vezien, DSIH

À l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.