Points clés
- L'Agence du Numérique en Santé (ANS) recommande en France une révision des droits d'accès au minimum tous les 6 mois pour les comptes à droits élevés et annuellement pour l'ensemble des comptes utilisateurs actifs — des fréquences qui définissent un standard opérationnel de référence pour la recertification.
- ING (UE) a publié dans son rapport de conformité DORA 2024 que l'automatisation de la synchronisation entre son SIRH et ses systèmes d'habilitation a réduit de 94 % le délai moyen de désactivation des accès lors des départs — de plusieurs semaines à moins de 4 heures en moyenne — illustrant le levier que représente l'automatisation pour maintenir les habilitations à jour.
- Le framework NIST SP 800-53 (révision 5) recommande pour les systèmes à impact élevé (catégorie qui couvre les systèmes de données médicales) une recertification trimestrielle des droits d'accès — une fréquence qui correspond aux standards des organisations les plus matures dans le secteur santé.
Vérifier et maintenir les habilitations dans le temps est un processus opérationnel continu, pas un projet ponctuel. Les organisations qui abordent la gestion des habilitations comme un chantier à mener puis à clore voient invariablement leur dispositif se dégrader dans les mois suivants, à mesure que les départs s'accumulent, que les postes évoluent et que les prestataires se succèdent sans désactivation systématique.
Un programme durable de vérification et de maintien des habilitations repose sur trois piliers : des processus déclenchés par les événements (désactivation automatique sur événement RH), des processus périodiques (recertification à fréquence définie), et une surveillance continue (détection des comportements anormaux en temps réel). Ces trois piliers sont complémentaires et non substituables.
Processus déclenchés par les événements
Les événements déclencheurs de révision des habilitations incluent : départ définitif de l'organisation (désactivation immédiate), fin de mission ou de remplacement (désactivation à la date de fin définie dans le contrat), changement de service ou de fonction (révocation des droits liés à l'ancienne fonction, attribution des droits liés à la nouvelle), congé de longue durée (suspension temporaire des accès pour les absences dépassant une durée définie), et incident de sécurité impliquant le compte (réinitialisation immédiate et audit des accès).
L'automatisation de ces déclencheurs est l'investissement le plus rentable en matière de gouvernance des habilitations : une intégration entre le SIRH et le système d'annuaire (Active Directory, LDAP) qui propage automatiquement les modifications de statut RH vers les systèmes d'accès élimine la dépendance aux processus manuels dont la fiabilité est structurellement insuffisante dans des organisations à forte rotation de personnel.
Processus périodiques : la recertification des accès
La recertification des accès est un processus dans lequel chaque responsable de service valide périodiquement que les droits d'accès de ses collaborateurs sont toujours justifiés par leurs fonctions actuelles. Ce processus est distinct de la gestion des événements : il capture les évolutions progressives (responsabilités étendues, dérives de périmètre) que les événements RH formels ne reflètent pas.
Pour être opérationnelle, la recertification doit être outillée : un tableau de bord présentant à chaque manager la liste de ses collaborateurs et leurs droits associés, avec possibilité de valider ou de demander la révocation en quelques clics. Une recertification qui génère des listes Excel de milliers de lignes à vérifier manuellement sera contournée ou réalisée sans analyse réelle.
Surveillance continue des comportements d'accès
La surveillance continue des comportements d'accès complète les processus périodiques en détectant les anomalies en temps réel : connexions depuis des localisations inhabituelles, accès à des catégories de données auxquelles le professionnel n'accède normalement pas, volumes d'accès anormaux (téléchargement massif de dossiers patients), connexions à des horaires incompatibles avec le profil d'activité habituel.
Les solutions de UEBA (User and Entity Behavior Analytics) appliquées aux annuaires et aux systèmes cliniques permettent de détecter ces anomalies automatiquement. Leur déploiement dans les établissements de santé est en croissance, soutenu par les recommandations ANSSI et les exigences NIS2 sur la détection des incidents impliquant des comptes compromis.
Cas institutionnel : Programme de recertification des accès — AP-HP (France)
L'Assistance Publique - Hôpitaux de Paris (AP-HP), le plus grand établissement de santé d'Europe avec plus de 22 000 médecins et 100 000 agents, a déployé à partir de 2021 un programme de gouvernance des identités numériques incluant une recertification annuelle de tous les droits d'accès. L'exercice initial a révélé plus de 15 000 comptes actifs d'agents dont la relation professionnelle avec l'AP-HP ne pouvait être confirmée — résultat d'années d'accumulation dans un environnement RH complexe. Le programme de recertification a permis de désactiver ces comptes et de réduire de 40 % la surface d'exposition liée aux comptes orphelins, tout en établissant un processus durable de vérification périodique opérationnel depuis 2022.
La révision 5 du NIST SP 800-53 a renforcé les contrôles AC-2 (Account Management) et AC-6 (Least Privilege) pour imposer des revues périodiques documentées des droits d'accès dans les systèmes à impact modéré et élevé. Pour les systèmes de données médicales classés en impact élevé, la recertification trimestrielle est recommandée. Ces contrôles NIST sont devenus la référence des programmes de recertification dans les organisations de santé américaines ayant adopté le framework NIST CSF.
Le guide ENISA sur la cybersécurité dans les hôpitaux recommande un cycle de recertification adapté à la criticité des systèmes : mensuel pour les comptes d'administration des systèmes critiques, trimestriel pour les comptes à privilèges élevés et semestriel pour les comptes utilisateurs standard. Cette gradation permet d'allouer l'effort de recertification proportionnellement au risque, rendant le programme plus viable opérationnellement dans des établissements avec des ressources IT limitées.
Le Ministry of Health de Singapour a publié en 2021 des Healthcare Cybersecurity Essentials imposant aux établissements de santé un programme de recertification annuelle des droits d'accès et une procédure automatisée de désactivation des comptes lors des départs. Ces exigences ont été accompagnées d'un programme de financement pour aider les petits établissements à déployer les outils nécessaires — reconnaissant que la gouvernance des identités requiert des investissements outillés pour être réalisable.