À l’ère du numérique, la digitalisation des systèmes de santé est une priorité nationale. L’objectif final est de mutualiser les ressources pour gagner en efficacité et ainsi offrir aux patients une meilleure qualité de soins. Cette ambition repose notamment sur une modernisation des infrastructures informatiques. Ainsi, le programme HOP’EN, porté par la DGOS (Direction générale de l’offre de soins), constitue la feuille de route nationale des systèmes d’information hospitaliers à 5 ans.
Dans ce contexte, la mise en place d’une stratégie de gestion des identités et des accès par les établissements et entreprises du domaine de la santé est déterminante. L’objectif est double : garantir à la fois la conformité aux règles de sécurité mais aussi ouvrir leur SI pour permettre un parcours de soins digital unifié et fluide, tant pour les patients que pour les professionnels de santé.
Comment répondre aux 3 enjeux majeurs
de la gestion des identités et des accès
dans le secteur Santé & Social ?
1
La protection de données médicales sensibles et confidentielles
La priorité dans le secteur de la santé est de garantir la confidentialité des données patients. La sécurisation des applications a donc toujours été un enjeu majeur pour les RSSI. S’assurer que seuls les professionnels habilités ont accès aux bonnes informations, et ce indépendamment de leurs points d’accès, prend tout son sens lorsqu’il s’agit de données médicales. Les accès à des applications sensibles sur des postes partagés – postes kiosques – ou des terminaux aux lits des patients par exemple doivent être sécurisés par le biais de moyens d’authentification adaptatifs.
Les types de personnels et les cas d’usages sont multiples et complexes dans le domaine de la santé. Le personnel administratif n’aura pas les mêmes besoins, et donc pas les mêmes droits, que le personnel soignant, lui-même composé de différents profils (médecins, infirmières, personnel libéral, etc.). Maîtriser la gestion du cycle de vie des utilisateurs en s’appuyant sur un annuaire d’établissement de santé (AES) est indispensable pour réduire le risque opérationnel de failles de sécurité.
Notre plateforme de gestion des identités et des accès apporte une réponse complète et modulaire aux problématiques spécifiques des organismes de santé. Elle permet de répondre aux besoins de sécurité et de confidentialité, d’être en conformité avec la législation tout en déployant des solutions ergonomiques et adaptées aux besoins spécifiques de la profession.
2
L’ouverture du SI aux partages
et échanges de données sécurisés
La tendance de fond du secteur santé est au décloisonnement, à la mutualisation et au partage. Les groupements hospitaliers de territoires (GHT), nés en 2016, en sont l’illustration même. Cependant, si aujourd’hui l’intérêt de la mutualisation n’est plus à démontrer, le défi reste de taille. Il s’agit notamment de faire converger des SIH non seulement complexes, mais également très disparates dans leur degré de maturité. Chaque établissement dispose de ses processus, de son parc applicatif, et de ses solutions de sécurité.
La gestion des identités et des accès est une brique essentielle de la mise en place d’un espace de communication médical sécurisé. Elle va permettre d’ouvrir son SI en toute sécurité à un écosystème étendu (patients, hôpitaux, médecins de ville, mutuelles, etc.) en s’appuyant sur un socle de sécurité de référence qui garantira à la fois le respect de la politique de sécurité et l’interopérabilité avec le monde numérique externe.
De plus, les processus de web SSO ou de fédération d’identité permettront aux professionnels de santé de bénéficier d’un parcours d’authentification fluide et sans coutures au sein de cet écosystème numérique étendu. Naviguer simplement entre les différents services applicatifs et ce, sans rogner sur la sécurité, est indispensable dans un secteur où l’accès à l’information doit être rapide et sans faille.
3
La surveillance et la traçabilité
Enfin, le domaine de la santé est soumis à un cadre réglementaire très strict et à des exigences de conformité élevées. Les nombreux organismes d’importance vitale (OIV) ou organismes de services essentiels (OSE) qui le composent sont bien la preuve que les enjeux de cybersécurité auxquels ils font face sont d’ordre national.
Ainsi, les DSI sont soumises à de nombreux audits dans le but de limiter les risques et leurs conséquences sur l’activité économique de manière générale.
Ségrégation des droits, traçabilité des accès, revue des habilitations, sont autant de fonctionnalités essentielles de la gestion des identités et des accès. Elles vous permettront de garantir aux auditeurs le contrôle et la légitimité des droits accordés aux utilisateurs, ainsi que les procédures et actions mises en place pour réduire le risque opérationnel en cas d’erreur.