Phylapp
Confiance numérique et habilitation des professionnels

Comment structurer un système fiable d’accréditation

Structurer un système d'accréditation fiable commence par quatre composantes fondamentales — annuaire maintenu, provisionnement documenté, désactivation automatisée, inventaire des systèmes — avant toute sophistication. Une progression par niveaux de maturité est la trajectoire la plus réaliste.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 13 lectures

Points clés

  • Le NIST SP 800-63B (Digital Identity Guidelines) définit trois niveaux d'assurance d'authentification (AAL1, AAL2, AAL3) permettant de calibrer le niveau d'authentification requis selon la sensibilité des ressources accédées — un cadre qui s'applique directement à la structuration des niveaux d'accréditation dans les systèmes de santé.
  • L'ANS (France) a publié dans son guide de sécurité des systèmes d'information de santé (2023) un référentiel en cinq niveaux de maturité pour les dispositifs d'accréditation, permettant aux établissements de positionner leur niveau actuel et de définir une trajectoire d'amélioration progressive et réaliste.
  • Le retour d'expérience de l'AP-HP (France, 2022-2024) sur son programme de gouvernance des identités identifie l'automatisation de la synchronisation SIRH-annuaire comme le composant ayant le meilleur rapport coût/réduction du risque — un enseignement directement transposable pour les établissements qui cherchent à prioriser leurs investissements.

Structurer un système d'accréditation fiable ne signifie pas déployer immédiatement toutes les technologies disponibles. Cela signifie construire progressivement un dispositif cohérent, adapté aux contraintes opérationnelles de l'établissement, et s'améliorant de manière documentée selon une trajectoire définie par la direction. La perfection est l'ennemi du bien : un système d'accréditation à 70 % déployé et maintenu est plus efficace qu'un système à 100 % planifié mais non déployé.

Les composantes fondamentales d'un système fiable

Un système d'accréditation fiable repose sur quatre composantes fondamentales qui doivent être en place avant toute sophistication supplémentaire : (1) un annuaire des professionnels complet et maintenu à jour, synchronisé avec les sources de vérité (RPPS, SIRH), (2) un processus de provisionnement défini et documenté pour chaque type d'arrivant (salarié permanent, contractuel, remplaçant, prestataire, intérimaire), (3) un processus de désactivation déclenché automatiquement sur les événements RH, avec contrôle de réalisation, (4) un inventaire des systèmes et applications concernés par le périmètre d'accréditation, avec les niveaux d'accès associés à chaque profil de praticien.

Ces quatre composantes forment le socle. Sans elles, les investissements dans des outils sophistiqués (UEBA, IAM avancé, recertification automatisée) ne peuvent pas produire leur plein effet car les données sur lesquelles ils s'appuient sont incomplètes ou inexactes.

Niveaux de maturité et trajectoire d'amélioration

La trajectoire d'amélioration d'un système d'accréditation suit généralement cinq niveaux de maturité : niveau 1 (accréditation informelle, non documentée), niveau 2 (processus documentés mais non automatisés et non systématiquement appliqués), niveau 3 (processus automatisés sur les événements critiques — départ notamment —, recertification annuelle en place), niveau 4 (intégration complète SIRH-annuaire, recertification semestrielle, surveillance comportementale basique), niveau 5 (gouvernance automatisée, synchronisation en temps réel, UEBA intégré, recertification continue pour les comptes à privilèges).

La progression entre niveaux doit être planifiée en tenant compte des contraintes budgétaires et des priorités de l'établissement. Passer du niveau 1 au niveau 3 en 12 à 18 mois est un objectif réaliste pour la plupart des établissements de santé avec un investissement modéré mais ciblé.

Facteurs de succès du déploiement

Les programmes d'accréditation qui échouent le font généralement pour trois raisons : absence de portage par la direction générale (le programme est perçu comme un projet IT sans soutien stratégique), insuffisance de l'accompagnement au changement (les praticiens perçoivent les nouvelles contraintes d'authentification comme des obstacles sans bénéfice visible pour eux), ou découplage entre les outils déployés et les processus RH (l'annuaire est mis à jour mais les processus RH ne déclenchent pas les actions d'habilitation correspondantes).

Cas institutionnel : Déploiement d'un système d'accréditation structuré — CHU de Toulouse (France, 2020-2023)

Le CHU de Toulouse a déployé entre 2020 et 2023 un programme complet de refonte de son système d'accréditation, passant du niveau 1 (processus informels, comptes orphelins nombreux) au niveau 3 (processus automatisés sur les événements critiques, recertification annuelle). Le programme a été porté par la direction générale et présenté au conseil de surveillance comme un investissement de résilience plutôt qu'un projet technique. Les trois leviers principaux ont été : intégration SIRH-AD (réduisant le délai de désactivation de 21 jours à moins de 4 heures), déploiement de 450 lecteurs de carte CPx dans les zones de soins, et formation de 200 référents métier pour les recertifications d'accès de leurs équipes. À l'issue du programme, 4 200 comptes orphelins avaient été désactivés et le taux de comptes partagés résiduels avait été réduit à moins de 2 %.

Structuration d'un système d'accréditation — cadres documentés
États-Unis — NIST SP 800-63B et niveaux d'assurance (2017, mis à jour 2022)
Le NIST SP 800-63B définit les niveaux d'assurance d'authentification (AAL1 à AAL3) permettant de calibrer les exigences selon la sensibilité des ressources. Pour les systèmes de santé, les données cliniques des patients correspondent à AAL2 (authentification multi-facteurs requise) et les systèmes d'administration critiques à AAL3 (authentification hardware requise). Ce cadre permet de structurer les niveaux d'accréditation de manière proportionnée aux risques de chaque ressource.
Union européenne — ENISA maturity model pour l'identité en santé (2023)
L'ENISA a développé en 2023 un modèle de maturité de la gestion des identités spécifiquement adapté aux hôpitaux européens, avec des exemples concrets d'initiatives à chaque niveau de maturité et des estimations de coût de mise en œuvre. Ce modèle est conçu pour être utilisé par les directions comme outil d'auto-évaluation et de planification budgétaire — répondant directement au besoin des établissements de structurer leur trajectoire d'amélioration.
Asie — MOH Singapore IAM Framework (2022)
Le Ministry of Health de Singapour a publié en 2022 un Identity and Access Management Framework for Healthcare Organizations définissant quatre niveaux de maturité et une trajectoire de progression. Le framework a été accompagné d'un programme de financement pour les établissements de taille moyenne souhaitant atteindre le niveau 3 en 18 mois — reconnaissant que la structuration d'un système d'accréditation fiable requiert des investissements que les petits établissements ne peuvent pas financer seuls.

Articles similaires

L’accréditation des praticiens est un enjeu de sécurité organisationnelle

L'accréditation des praticiens est un enjeu de sécurité organisationnelle directement porté par la direction : comptes non désactivés, droits hérités et accès prestataires persistants sont les vecteurs d'intrusion les plus fréquents dans les systèmes de santé.

24 mai 2026 7 min

Pourquoi l’identité professionnelle est un maillon critique du numérique en santé

L'identité professionnelle numérique est le maillon critique de la sécurité des systèmes de santé : usurpation d'identifiants, comptes partagés et droits persistants fragilisent toutes les protections techniques en aval.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des habilitations des professionnels

Les erreurs de gestion des habilitations — comptes non désactivés à la sortie, accumulation de droits, profils trop larges, comptes prestataires oubliés — constituent les vecteurs d'accès les plus exploités dans les incidents des systèmes de santé.

24 mai 2026 7 min
WhatsApp