Guide Cyber-résilience - Opus 3 - Les habilitations d'accès aux données
L’APSSIS a le plaisir d’annoncer la troisième publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Ce troisième opus traite d’un sujet critique : Les habilitations d'accès aux données.
Informatiser un processus métier revient, stricto sensu, à automatiser le traitement des données, ce qui conduit à traiter plus de données, plus vite, pour le bénéfice de plus de clients / usagers, et accessibles à plus de monde en interne / externe.
Or, quand les données des établissements n’étaient physiquement disponibles que sous un format papier, à de rares exceptions, les fuites et les problématiques d’accès (qui peut voir quoi, qui peut modifier quoi) étaient quasi inexistantes. Avec l’informatisation et surtout l’interconnexion des réseaux (le Web entre autres), la question de l’accès devient plus prégnante.
Que dans une PME de 10 personnes, tout le monde ait accès aux données client (la GRC, Gestion de la Relation Commerciale) ne choquera personne : après tout, il faut bien faire tourner l’établissement. Que dans cette même PME, tous les employés aient accès aux données RH de tout le monde posera plus de problèmes : il s’agit de données sensibles, et l’employé X n’a aucune légitimité à connaître la situation familiale, fiscale (taux de retenue à la source), professionnelle (salaire, prime, appréciation de la hiérarchie, etc.) de l’employé Y sauf si X est responsable du processus RH.
Immanquablement, l’informatisation de données métier (comptables, RH, facturation, cœur de métier, etc.) est indissociable de la question des habilitations d’accès à ces mêmes données. Selon que l’établissement compte 10 ou 10 000 salariés, selon qu’elle évolue dans un domaine fortement réglementé ou pas, selon la nature des données traitées, les réponses ne sont pas les mêmes.
Ce guide a pour objectif de poser clairement le problème, de présenter les différentes approches possibles avec leurs avantages et inconvénients, de sensibiliser le lecteur aux questions connexes de telle sorte à disposer d’une vision globale du sujet. Il s’adresse aussi bien aux professionnels de santé qu’aux décideurs ou aux DSI.
Une précaution s’impose toutefois : le sujet des habilitations d’accès aux données de santé est complexe et a connu de gros changements depuis les premières générations de DPI au début des années 2000.
Sur certaines questions de fond, les réponses sont connues, classées, rangées. Sur d’autres questions, il n’y a pour le moment que des avis, susceptibles d’évolution dans les prochaines années. Et sur certaines questions enfin, les spécialistes des différents métiers (corps médical, corps soignants, DSI, juristes, RSSI, etc.) ne sont pas même pas d’accord sur la formulation de la question. Ce guide doit donc n’être pris que pour ce qu’il est : une tentative de poser les bases et les problèmes, de décrire l’état des connaissances et du débat sur la question, et certainement pas de proposer LA solution urbi et orbi à l’ensemble des questions. Ecrit il y a 10 ans, ce guide n’aurait certainement pas eu la même teneur, écrit dans 10 ans non plus.
Les contributions en annexes constituent un témoignage précieux de la vision de professions différentes : directrice, médecin, éditeur, etc. Que ces visions ne soient pas toutes alignées, qu’elles abordent le sujet par différents angles d’attaques, qu’elles ne posent pas les mêmes questions et ne proposent pas les mêmes pistes de solutions est exactement l’objectif du présent guide.
Après le premier guide « Cyber résilience – les mots de passe » et le deuxième guide « Cyber résilience – les cyber attaques », ce troisième opus poursuit la réflexion globale autour de la sécurité des SIH. Et comme toujours, les remarques, suggestions d’amélioration sont à envoyer directement à l’auteur pour être prises en compte dans les prochaines versions.
Bonne lecture.
Des guides numériques en libre accès
Avec le soutien de l’APSSIS, ce troisième ouvrage est publié sous licence Creative Common, ce qui permet sa libre diffusion, copie et réutilisation à des fins non-commerciales. Un quatrième guide est prévu dans les prochains mois.