GHT : La gestion des identités à l’heure des Groupements Hospitaliers de Territoire | Sebastien Wetter, expert sécurité santé, Enovacom

« Le schéma directeur d’un GHT ne peut pas se passer d’un méta-annuaire. » Sébastien Wetter – Responsable Produit, expert Sécurité chez Enovacom – revient pour nous sur les apports d’une gestion des identités et des habilitations pour les établissements de santé, au-delà des contraintes réglementaires, il y voit un atout pour les pilotes de l’organisation des futurs Groupements Hospitaliers de Territoires (GHT).

Comment la législation s’adapte-t-elle aux évolutions du système de santé ?

new_wetterSébastien WETTER : Sous l’effet de l’ASIP Santé et la Direction générale de l’offre de soins (DGOS) notamment, les réglementations encadrent les nouveaux usages et nous sommes très attentifs à ces évolutions. Ainsi, il faut savoir qu’au niveau de la CNIL, deux thématiques sont particulièrement surveillées, à commencer bien sûr par la formalisation des accès des professionnels de santé aux informations patients, les hôpitaux devant garantir l’identité de ces personnels, de même que le droit de publication des informations contenues dans l’annuaire de ces établissements. La littérature réglementaire suit de très près également tout ce qui touche au volet financier d’un établissement de santé, avec une certification et une fiabilisation des comptes. C’est ce que l’on appelle l’auditabilité des systèmes d’information(SI), par laquelle on trace les actions réalisées par les professionnels hospitaliers. Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI, via ENOVACOM Smart Audit.

Comment le projet Hôpital Numérique appréhende-t-il les dispositions relatives aux comptes utilisateurs et habilitations ?

S.W. : Le but du programme Hôpital Numérique est de garantir un socle commun minimal pour un fonctionnement du système d’information efficient en termes, notamment, de dématérialisation, de traçabilité et de sécurité. Sur ce dernier point, il comporte trois indicateurs de pré-requis majeurs. Le premier est l’existence d’un référentiel unique de structure, en termes juridique, géographique ou fonctionnel qui doit être mis à jour régulièrement dans les applicatifs, en temps utile. L’hôpital se doit donc, pour la sécurité des identités, de disposer d’un outil unique, un « méta-annuaire », capable de piloter ces identités pour l’ensemble des applicatifs présents dans le Système d’Information (SI). Le deuxième indicateur de sécurité est le taux d’applications gérant des données de santé à caractère personnel et intégrant un dispositif d’authentification personnelle.

L’idée est-elle d’éradiquer les usages d’identités génériques qui peuvent exister pour un groupe de personnels de profil similaire ?

S.W. : Effectivement, les login génériques à des fins de manipulations de données de santé ne sont plus autorisés aujourd’hui, car ils sont partagés entre plusieurs utilisateurs et on ne peut pas tracer précisément les pratiques des uns et des autres. Enfin, le troisième indicateur de sécurité dans Hôpital Numérique est le taux d’applications permettant la traçabilité des connexions au SI hospitalier. Il faut préciser que ces trois critères se retrouvent dans le référentiel V2014 de certification des établissements de santé édité par la Haute Autorité de Santé (HAS).

Les hôpitaux publics doivent désormais se constituer en Groupements Hospitaliers de Territoires (GHT). Quelles sont les nouvelles contraintes pour la sécurité des identités et des accès ?

S.W. : L’élaboration d’un schéma directeur pour le 31 juillet 2016 est pour eux une première contrainte. Ils doivent en effet, à cette date, avoir défini un plan de convergence des SI pour l’ensemble des établissements regroupés, afin d’aboutir à un système mutualisé au maximum, ce qui paraît difficilement réalisable vu le temps qui leur est imparti. Il est néanmoins tout à fait possible de fédérer les identités de tous les agents du GHT au sein d’un méta-annuaire, avec des attributions géographiques ou fonctionnelles, ou les deux. On est capable de le faire à l’échelle d’un établissement, il n’y a pas de raison que cela ne marche pas à celle du GHT. Il suffit que les responsables Ressources humaines (RH) de chaque structure, qui créent les identités dans leur application métier, les mutualisent au sein d’un même annuaire.

Que se passe-t-il si les applications RH sont différentes d’un établissement à l’autre ?

S.W. : Ce n’est pas un problème pour nous car notre solution Identity Management a les qualités d’interopérabilité et de stockage nécessaires pour pouvoir fusionner les informations venant de sources différentes. Le GHT dispose ainsi d’un annuaire multi-établissements, qui propose différents niveaux hiérarchiques (GHT, hôpital, pôle, service, etc.) et peut modéliser les organisations si elles sont différentes d’un établissement à l’autre. Une fois qu’il est constitué, l’annuaire peut ensuite alimenter les applications métiers des personnels qui auront les habilitations à les utiliser. Cela nécessite évidemment de faire collaborer les services RH et les DSI des établissements concernés. Même si on a beaucoup parlé des RH jusqu’à maintenant, il est pertinent de donner la responsabilité de l’annuaire à un Responsable Sécurité du SI (RSSI) ou à un DSI pour superviser le processus. David Robine, du SILPC, assure que la RH est le garant de la précision de l’information saisie dans l’annuaire. Il a raison, mais lorsque nous avons à faire à plusieurs RH, il est important que le référent soit informaticien, ne serait-ce que pour uniformiser les règles de calcul des habilitations.

Les nombreux mouvements de personnels, notamment soignants, qui font la particularité des établissements de santé sont-ils un frein à de tels projets ?

S.W. : Avant de parler du personnel soignant, il faut considérer la multitude d’applications métiers, parfois 150 pour un seul hôpital, qui génèrent autant de référentiels utilisateurs différents. Si on y ajoute effectivement les entrées et sorties des soignants, les mutations, les intérimaires, cela peut freiner le processus si la RH n’est pas réactive dans la saisie des informations relatives aux nouveaux embauchés, qui ne peuvent pas travailler tant qu’ils ne sont pas identifiés dans l’annuaire, ou des sortants qui ne sont plus habilités à utiliser les SI. Il en va de même pour les intervenants extérieurs, comme les professionnels de santé libéraux, les techniciens de maintenance des dispositifs médicaux, ou les ingénieurs ENOVACOM… Il est essentiel de pouvoir les identifier rapidement et leur attribuer des droits et des habilitations.

Au final, comment ENOVACOM Identity Manager, à travers le méta-annuaire centralisé, fait-il progresser une organisation telle qu’un hôpital ou un GHT ?

Dans un contexte législatif très contraignant en terme de sécurité des identités et des habilitations, il permet, grâce à l’automatisation, de gagner du temps, vu le nombre de mouvements de personnels et d’applications métiers à gérer simultanément et en temps réel. Ensuite, le volet interopérabilité fluidifie la recherche d’informations dans des applications connectées entre elles, mais pas forcément de même architecture. Enfin, la maîtrise des accès au SI est un gage de sécurité en termes de responsabilité professionnelle des utilisateurs, avec ouverture des droits pour un profil donné à un service précis et une application métier pertinente. Et, par extension, une traçabilité qui permettra l’auditabilité du SI. La philosophie d’ENOVACOM Identity Manager peut ainsi aider les GHT dans le schéma directeur de leurs nouvelles organisations.

ght-gestion-identite-systeme-information-enovacom

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

GHT : La gestion des identités à l’heure des Groupements Hospitaliers de Territoire | Sebastien Wetter, expert sécurité santé, Enovacom

9th février, 2016

« Le schéma directeur d’un GHT ne peut pas se passer d’un méta-annuaire. » Sébastien Wetter – Responsable Produit, expert Sécurité chez Enovacom – revient pour nous sur les apports d’une gestion des identités et des habilitations pour les établissements de santé, au-delà des contraintes réglementaires, il y voit un atout pour les pilotes de l’organisation des futurs Groupements Hospitaliers de Territoires (GHT).

Comment la législation s’adapte-t-elle aux évolutions du système de santé ?

new_wetterSébastien WETTER : Sous l’effet de l’ASIP Santé et la Direction générale de l’offre de soins (DGOS) notamment, les réglementations encadrent les nouveaux usages et nous sommes très attentifs à ces évolutions. Ainsi, il faut savoir qu’au niveau de la CNIL, deux thématiques sont particulièrement surveillées, à commencer bien sûr par la formalisation des accès des professionnels de santé aux informations patients, les hôpitaux devant garantir l’identité de ces personnels, de même que le droit de publication des informations contenues dans l’annuaire de ces établissements. La littérature réglementaire suit de très près également tout ce qui touche au volet financier d’un établissement de santé, avec une certification et une fiabilisation des comptes. C’est ce que l’on appelle l’auditabilité des systèmes d’information(SI), par laquelle on trace les actions réalisées par les professionnels hospitaliers. Une interface simple d’accès permet de mettre en œuvre et de gérer toute l’activité de contrôle et d’audit du SI, via ENOVACOM Smart Audit.

Comment le projet Hôpital Numérique appréhende-t-il les dispositions relatives aux comptes utilisateurs et habilitations ?

S.W. : Le but du programme Hôpital Numérique est de garantir un socle commun minimal pour un fonctionnement du système d’information efficient en termes, notamment, de dématérialisation, de traçabilité et de sécurité. Sur ce dernier point, il comporte trois indicateurs de pré-requis majeurs. Le premier est l’existence d’un référentiel unique de structure, en termes juridique, géographique ou fonctionnel qui doit être mis à jour régulièrement dans les applicatifs, en temps utile. L’hôpital se doit donc, pour la sécurité des identités, de disposer d’un outil unique, un « méta-annuaire », capable de piloter ces identités pour l’ensemble des applicatifs présents dans le Système d’Information (SI). Le deuxième indicateur de sécurité est le taux d’applications gérant des données de santé à caractère personnel et intégrant un dispositif d’authentification personnelle.

L’idée est-elle d’éradiquer les usages d’identités génériques qui peuvent exister pour un groupe de personnels de profil similaire ?

S.W. : Effectivement, les login génériques à des fins de manipulations de données de santé ne sont plus autorisés aujourd’hui, car ils sont partagés entre plusieurs utilisateurs et on ne peut pas tracer précisément les pratiques des uns et des autres. Enfin, le troisième indicateur de sécurité dans Hôpital Numérique est le taux d’applications permettant la traçabilité des connexions au SI hospitalier. Il faut préciser que ces trois critères se retrouvent dans le référentiel V2014 de certification des établissements de santé édité par la Haute Autorité de Santé (HAS).

Les hôpitaux publics doivent désormais se constituer en Groupements Hospitaliers de Territoires (GHT). Quelles sont les nouvelles contraintes pour la sécurité des identités et des accès ?

S.W. : L’élaboration d’un schéma directeur pour le 31 juillet 2016 est pour eux une première contrainte. Ils doivent en effet, à cette date, avoir défini un plan de convergence des SI pour l’ensemble des établissements regroupés, afin d’aboutir à un système mutualisé au maximum, ce qui paraît difficilement réalisable vu le temps qui leur est imparti. Il est néanmoins tout à fait possible de fédérer les identités de tous les agents du GHT au sein d’un méta-annuaire, avec des attributions géographiques ou fonctionnelles, ou les deux. On est capable de le faire à l’échelle d’un établissement, il n’y a pas de raison que cela ne marche pas à celle du GHT. Il suffit que les responsables Ressources humaines (RH) de chaque structure, qui créent les identités dans leur application métier, les mutualisent au sein d’un même annuaire.

Que se passe-t-il si les applications RH sont différentes d’un établissement à l’autre ?

S.W. : Ce n’est pas un problème pour nous car notre solution Identity Management a les qualités d’interopérabilité et de stockage nécessaires pour pouvoir fusionner les informations venant de sources différentes. Le GHT dispose ainsi d’un annuaire multi-établissements, qui propose différents niveaux hiérarchiques (GHT, hôpital, pôle, service, etc.) et peut modéliser les organisations si elles sont différentes d’un établissement à l’autre. Une fois qu’il est constitué, l’annuaire peut ensuite alimenter les applications métiers des personnels qui auront les habilitations à les utiliser. Cela nécessite évidemment de faire collaborer les services RH et les DSI des établissements concernés. Même si on a beaucoup parlé des RH jusqu’à maintenant, il est pertinent de donner la responsabilité de l’annuaire à un Responsable Sécurité du SI (RSSI) ou à un DSI pour superviser le processus. David Robine, du SILPC, assure que la RH est le garant de la précision de l’information saisie dans l’annuaire. Il a raison, mais lorsque nous avons à faire à plusieurs RH, il est important que le référent soit informaticien, ne serait-ce que pour uniformiser les règles de calcul des habilitations.

Les nombreux mouvements de personnels, notamment soignants, qui font la particularité des établissements de santé sont-ils un frein à de tels projets ?

S.W. : Avant de parler du personnel soignant, il faut considérer la multitude d’applications métiers, parfois 150 pour un seul hôpital, qui génèrent autant de référentiels utilisateurs différents. Si on y ajoute effectivement les entrées et sorties des soignants, les mutations, les intérimaires, cela peut freiner le processus si la RH n’est pas réactive dans la saisie des informations relatives aux nouveaux embauchés, qui ne peuvent pas travailler tant qu’ils ne sont pas identifiés dans l’annuaire, ou des sortants qui ne sont plus habilités à utiliser les SI. Il en va de même pour les intervenants extérieurs, comme les professionnels de santé libéraux, les techniciens de maintenance des dispositifs médicaux, ou les ingénieurs ENOVACOM… Il est essentiel de pouvoir les identifier rapidement et leur attribuer des droits et des habilitations.

Au final, comment ENOVACOM Identity Manager, à travers le méta-annuaire centralisé, fait-il progresser une organisation telle qu’un hôpital ou un GHT ?

Dans un contexte législatif très contraignant en terme de sécurité des identités et des habilitations, il permet, grâce à l’automatisation, de gagner du temps, vu le nombre de mouvements de personnels et d’applications métiers à gérer simultanément et en temps réel. Ensuite, le volet interopérabilité fluidifie la recherche d’informations dans des applications connectées entre elles, mais pas forcément de même architecture. Enfin, la maîtrise des accès au SI est un gage de sécurité en termes de responsabilité professionnelle des utilisateurs, avec ouverture des droits pour un profil donné à un service précis et une application métier pertinente. Et, par extension, une traçabilité qui permettra l’auditabilité du SI. La philosophie d’ENOVACOM Identity Manager peut ainsi aider les GHT dans le schéma directeur de leurs nouvelles organisations.

ght-gestion-identite-systeme-information-enovacom

By
@coesteve1
backtotop