Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Maîtriser l’accès à l’information médicale

décembre 2012 par Sébastien Wetter - Ingenieur Produit Gamme Sécurité chez Enovacom

Ces dernières années, ont été particulièrement marquées par l’informatisation croissante et la dématérialisation des données médicales. Comme toujours cette informatisation met en évidence les différents risques et menaces, qui attiraient beaucoup moins l’attention dans les usages papier.
La recherche d’une efficience opérationnelle est de plus en plus présente, et le contexte règlementaire de plus en plus fort. Il est impératif pour l’établissement de santé, de garantir la confidentialité, l’intégrité et la disponibilité de l’information médicale dont il est responsable. Le ton est donné : le coupable lors d’une utilisation frauduleuse des données sera celui qui n’a pas protégé l’accès à celles-ci, donc l’établissement.

Pour répondre à ces exigences, celui-ci devra obligatoirement maitriser les acteurs et leurs actions au sein de son système d’informations. Il devra s’assurer que les personnes agissant sous sa responsabilité accèdent uniquement aux données auxquelles elles sont habilitées et n’en fassent pas mauvais usage. Ces personnes devront pouvoir produire, consulter, mettre à jour et partager de l’information en toute sécurité et ceci en garantissant la capacité de traçabilité de toutes ces actions. Ces exigences de sécurité, se renforce encore avec le partage de l’information au-delà des murs de l’établissement et se précise avec des projets comme le DMP, le RASS ou encore la MSS.

Ces projets d’établissement sont de vrais chantiers organisationnels, et ne peuvent pas être menés avec une approche uniquement technique. L’établissement devra d’abord mettre à plat le découpage fonctionnel de son organisation. Il faudra définir les différents profils agissant dans la structure et les critères de regroupement, pour y associer les habilitations à transmettre aux applications du SIH.

La sécurité est avant tout perçue comme la somme de contraintes techniques et fonctionnelles. Pourtant, les projets d’IAM (Identity and access management) sont également sources de confort et d’optimisation pour tous les acteurs. Avec l’automatisation des tâches, les administrateurs et les intervenants du support seront beaucoup moins sollicités pour la création des identités dans chaque application du SIH, pour la réinitialisation des mots de passe et ils éviteront la saisie et re-saisie des informations dans les différents systèmes. De plus, ils auront enfin une vision des entrées et sorties des usagers du SI. Les utilisateurs, quant à eux, gagneront en réactivité sur l’ouverture de leurs accès aux applications lors de leur arrivée dans l’établissement ou dans un service. Fini, les comptes génériques et l’utilisation du compte d’un ancien collègue déjà à la retraite depuis deux ans. Une seule authentification pour ouvrir leur session, avec une carte CPS ou avec une carte d’établissement, et les utilisateurs pourront se connecter automatiquement à leurs applications sans avoir besoin de s’authentifier à nouveau au lancement des applications métiers. Plus besoin, non plus, de se souvenir de tous ces mots de passe avec des complexités grandissantes et à changement obligatoire tous les 3 mois.

Pour mener à bien cette démarche de sécurisation, il faudra bien entendu prendre en compte la réalité opérationnelle. Il faudra rechercher la solution technique la plus adaptée face à des besoins qui évoluent, notamment en termes de mobilité, mais attention à ne pas céder à l’engouement sur des nouvelles technologies non adaptées aux cas d’usages réels rencontrés sur le terrain.


Voir les articles précédents

    

Voir les articles suivants