Gestion des identités : le schéma directeur d’un GHT ne peut pas se passer d’un méta-annuaire

Parole d’expert : Sébastien Wetter - Responsable Produit, expert Sécurité chez Enovacom - revient pour nous sur les apports d’une gestion des identités et des habilitations pour les établissements de santé, au-delà des contraintes réglementaires, il y voit un atout pour les pilotes de l’organisation des futurs Groupements Hospitaliers de Territoires (GHT).

Comment la législation s’adapte-t-elle aux évolutions du système de santé ?

Sébastien WETTER : Sous l’effet de l’ASIP Santé et la Direction générale de l'offre de soins (DGOS) notamment, les réglementations encadrent les nouveaux usages et nous sommes très attentifs à ces évolutions. Ainsi, il faut savoir qu’au niveau de la CNIL, deux thématiques sont particulièrement surveillées, à commencer bien sûr par la formalisation des accès des professionnels de santé aux informations patients, les hôpitaux devant garantir l’identité de ces personnels, de même que le droit de publication des informations contenues dans l’annuaire de ces établissements. La littérature réglementaire suit de très près également tout ce qui touche au volet financier d’un établissement de santé, avec une certification et une fiabilisation des comptes. C’est ce que l’on appelle l’auditabilité des systèmes d’information (SI), par laquelle on trace les actions réalisées par les professionnels hospitaliers. Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI, via ENOVACOM Smart Audit.

Les hôpitaux publics doivent désormais se constituer en Groupements Hospitaliers de Territoires (GHT). Quelles sont les nouvelles contraintes pour la sécurité des identités et des accès ?

S.W. : L’élaboration d’un schéma directeur pour le 31 juillet 2016 est pour eux une première contrainte. Ils doivent en effet, à cette date, avoir défini un plan de convergence des SI pour l’ensemble des établissements regroupés, afin d’aboutir à un système mutualisé au maximum, ce qui paraît difficilement réalisable vu le temps qui leur est imparti. Il est néanmoins tout à fait possible de fédérer les identités de tous les agents du GHT au sein d’un méta-annuaire, avec des attributions géographiques ou fonctionnelles, ou les deux. On est capable de le faire à l’échelle d’un établissement, il n’y a pas de raison que cela ne marche pas à celle du GHT. Il suffit que les responsables Ressources humaines (RH) de chaque structure, qui créent les identités dans leur application métier, les mutualisent au sein d’un même annuaire.

Que se passe-t-il si les applications RH sont différentes d’un établissement à l’autre ?

S.W. : Ce n’est pas un problème pour nous car notre solution Identity Management a les qualités d’interopérabilité et de stockage nécessaires pour pouvoir fusionner les informations venant de sources différentes. Le GHT dispose ainsi d’un annuaire multi-établissements, qui propose différents niveaux hiérarchiques (GHT, hôpital, pôle, service, etc.) et peut modéliser les organisations si elles sont différentes d’un établissement à l’autre. Une fois qu’il est constitué, l’annuaire peut ensuite alimenter les applications métiers des personnels qui auront les habilitations à les utiliser. Cela nécessite évidemment de faire collaborer les services RH et les DSI des établissements concernés. Même si on a beaucoup parlé des RH jusqu’à maintenant, il est pertinent de donner la responsabilité de l’annuaire à un Responsable Sécurité du SI (RSSI) ou à un DSI pour superviser le processus. David Robine, du SILPC, assure que la RH est le garant de la précision de l’information saisie dans l’annuaire. Il a raison, mais lorsque nous avons à faire à plusieurs RH, il est important que le référent soit informaticien, ne serait-ce que pour uniformiser les règles de calcul des habilitations.

Les nombreux mouvements de personnels, notamment soignants, qui font la particularité des établissements de santé sont-ils un frein à de tels projets ?

S.W. : Avant de parler du personnel soignant, il faut considérer la multitude d’applications métiers, parfois 150 pour un seul hôpital, qui génèrent autant de référentiels utilisateurs différents. Si on y ajoute effectivement les entrées et sorties des soignants, les mutations, les intérimaires, cela peut freiner le processus si la RH n’est pas réactive dans la saisie des informations relatives aux nouveaux embauchés, qui ne peuvent pas travailler tant qu’ils ne sont pas identifiés dans l’annuaire, ou des sortants qui ne sont plus habilités à utiliser les SI. Il en va de même pour les intervenants extérieurs, comme les professionnels de santé libéraux, les techniciens de maintenance des dispositifs médicaux, ou les ingénieurs ENOVACOM… Il est essentiel de pouvoir les identifier rapidement et leur attribuer des droits et des habilitations.   

Lire l’intégralité de l’avis d’expert :

A propos :
La société ENOVACOM, créée en 2002, s'appuie aujourd'hui sur une équipe de plus de 95 experts afin de répondre aux enjeux de tous les établissements de santé. Aujourd'hui, près de 1 490 établissements de santé nous font confiance, 93% d'entre eux se déclarent très satisfaits par nos services.