Identités et contrôles d'accès: une gestion centralisée pour éviter les difficultés

La mise en œuvre d'un projet de gestion d'identités dans un établissement de santé permet de résoudre dae nombreuses difficultés au quotidien et réduire les risques pour le système d'information (SI), ont témoigné deux intervenants aux journées nationales Athos, à Poitiers.

A l'occasion de la 24e édition des journées nationales Athos (Association des technologies de la communication hospitalière), qui s'est tenue mi-octobre à Poitiers, un retour d'expérience a été réalisé sur la problématique de la gestion des identités dans un établissement ou un territoire de santé.

David Robine, chef de projet au Groupement d'intérêt public Syndicat interhospitalier Limousin-Poitou-Charentes (GIP SILPC) a rappelée qu'une gestion non-centralisée des identités est source de multiples échanges chronophages entre les opérateurs pour des informations identiques. "Un soignant, en prenant son exercice, doit remplir des formulaires pour obtenir un droit d'accès au SI, obtenir ses clefs, sa blouse, etc.", a-t-il détaillé.

En plus d'être chronophages, ces démarches "rendent difficile l'anticipation et donc la fourniture des outils essentiels à l'agent au bon moment", a-t-il déclaré.

De plus, une gestion chaotique des identités entraîne des risques pour le système d'information, a poursuivi David Robine : "pour pallier toutes ces difficultés, les identifiants et mots de passe sont souvent partagés entre les acteurs…"

Un projet de gestion commune des identités et des accès a donc été lancé dans 38 établissements de la région Limousin. 18 établissements publics et 13 privés, regroupant 100 à 7.000 acteurs, ont été impliqués.

Un "socle commun" a été installé. Il comprend un annuaire d'établissements, une gestion centralisée des droits d'accès au SI et un dispositif permettant d'accéder au SI de manière forte et aux applications métier en utilisant une carte.

"L'annuaire fait la correspondance entre les droits et les ressources du professionnel: accès au SI, casier, formation incendie, etc.", explique David Robine. Ces informations sont ensuite transmises au sein de l'établissement pour que l'encadrement soit alerté des profils à ouvrir ou non.

Jean-Casini, ingénieur commercial chez Enovacom, qui déploie le projet, est revenu sur les facteurs de réussite d'un tel travail:

  • "impliquer et mobiliser les acteurs clefs" (direction, ressources humaines, encadrement soignant et informatique)
  • "maîtriser son système d'information et définir un périmètre de déploiement progressif"
  • "ne pas négliger la communication et l'accompagnement au changement"
  • "s'appuyer sur des éditeurs et intégrateurs qui connaissent bien les contraintes du secteur", notamment les processus métiers

La gestion des identités est un "levier essentiel" pour "formaliser et harmoniser les processus" ainsi que les politiques d'identification et d'habilitation, a-t-il conclu.