Référentiel d’identification électronique – An 0
14 juin 2022 - 11:50,
Tribune
- Cédric CartauLe référentiel est découpé en plusieurs documents selon la population adressée : usagers, personnes morales, personnes physiques, etc. Le but est évidemment d’adresser le scope le plus large de toutes les personnes qui sont amenées à se connecter à un logiciel hébergeant de la donnée médicale. Sont ainsi concernés aussi bien les fournisseurs de services SaaS à l’ensemble des usagers (la prise de rendez-vous avec Maiia, par exemple), bien évidemment le DMP, que les établissements de santé non seulement pour leurs usagers (on pense aux portails patients), mais pour leurs propres agents. Bon, on peut en résumer le principe de la sorte : pour se connecter à des données de santé, c’est la fin du bricolage, va falloir utiliser des mécanismes à l’état de l’art, propres, sécurisés, en double authentification dans la plupart des cas. Jusque-là, rien d’étonnant, c’est le sens de l’histoire.
C’est après que les choses se compliquent. Le corpus documentaire mentionné traite évidemment d’un large panel de cas d’usages, mais le propos de cet article concerne « juste » (si j’ose dire) le cas d’usage des accès à un SI hospitalier. Quiconque s’est déjà attaqué sur le terrain à ce sujet sait qu’il est l’illustration parfaite de la loi de Pareto : vous allez assez rapidement régler 80 % des situations, mais pour aller chercher les 20 % restantes, ça ne va pas être de la tarte.
Déjà, le corpus documentaire susnommé n’adresse que la question de l’identification/authentification à un bout du SI. Il ne traite pas de la question des habilitations. Il est assez facile (toutes proportions gardées) de connecter son boîtier VPN à l’annuaire CPS pour permettre à tous les détenteurs de cartes CPS de se connecter à votre SI, mais si c’est pour se retrouver devant un écran vide une fois connectés, cela va leur faire une belle jambe. Pour accéder à une donnée médicale, il faut avoir réglé trois questions : l’ouverture de session, l’ouverture d’une connexion à un logiciel métier et l’attribution des bonnes habilitations. Les deux premières étapes peuvent être fusionnées dans certains cas et sont justement adressées par le référentiel objet de l’article, mais pas la troisième. Et la question des habilitations est d’une rare complexité : en mars 2021 j’ai publié un guide de cyberrésilience (opus 3[2]) exclusivement dédié à ce sujet : il fait plus de 70 pages, et certains des aspects de la question ont juste été effleurés.
Mais surtout, le problème de tous les référentiels qui ont tenté d’adresser le sujet est d’apporter un cadre (certes nécessaire) pour régler, on l’a vu, 80 % des cas, mais sans aucunement aborder les 20 % restants. Un exemple : dans tous les Éhpad de France, une partie des médecins qui interviennent sont des médecins de ville externes à l’établissement, voire SOS Médecins pour les cas d’urgence. Je veux bien que l’on me montre l’Éhpad qui a mis en place le processus suivant : accueil du médecin intervenant pour SOS Médecins, contrôle en face à face de l’identité, attribution d’un identifiant nominatif, habilitation de cet identifiant au dossier du patient qu’il vient consulter (ou à la carte CPS du médecin, c’est pareil à ce stade), révocation de l’identité ou de la carte CPS dans le DPI une fois le médecin parti. Le tout bien entendu en mode 24-365. Autre exemple : avec la tension sur certains métiers tels les soignants (dont certains ne sont pas des professions à ordre, notamment les aides-soignants, donc sans cartes CPS), les établissements font appel à des plateformes type Hublo pour des remplacements de dernière minute. Là aussi, je veux bien que l’on me montre l’établissement, petit ou gros, qui est en mesure de jouer le même processus que pour les médecins, parfois pour un professionnel qui arrive à 20 h 55 pour prendre un poste de nuit à 21 heures. Le tout en mode multisite et bien entendu 24-365.
Paradoxalement, plus on « sécurise » les accès des personnels en situation « standard » (CDI, posté, affectation stable, etc.), et plus on est obligé de faire du gloubi-boulga avec les exceptions, qui ne sont pas si exceptionnelles : création de pool d’identifiants génériques (jamais supprimés) avec des mots de passe tout pourris qui ne sont jamais changés, attribués à des personnes pour lesquelles le processus de vérification d’identité est aussi fréquent que le passage de la comète de Halley, et dont la formation à un DPI interne (c’est juste la base) est faite (quand elle est faite) en 2 minutes chrono.
On arrive à la situation totalement ubuesque où certains individus (notamment les personnels des éditeurs qui font de la télémaintenance, les personnels en remplacement de dernière minute, etc.) non identifiés disposent d’un accès plus large que l’agent interne qui pourtant tente d’être le bon élève de la pièce de théâtre. La situation, de ce point de vue, s’est même dégradée depuis dix ans puisque la tension sur les personnels et les services de soins conduit immanquablement à faire l’impasse sur des processus internes « standards » ; c’est une forme d’effet de loupe.
Certes, le référentiel susmentionné n’y est pour rien (des situations administratives ou de soins « en tension » conduisent à dégrader certains processus), mais le fait est là : on bute depuis plus de 15 ans sur ce même problème.
Bonne semaine quand même.
[1] https://esante.gouv.fr/produits-services/pgssi-s/corpus-documentaire
[2] https://www.apssis.com/nos-actions/publication/
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.