Phylapp
Confiance numérique et habilitation des professionnels

Construire un dispositif d’accréditation sécurisé et durable

Construire un dispositif d'accréditation durable exige un portage institutionnel permanent, des processus intégrés dans les routines opérationnelles quotidiennes et une adaptation continue aux évolutions réglementaires et technologiques du système de santé.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 13 lectures

Points clés

  • L'ENISA (2023) conclut que les établissements de santé ayant déployé un programme structuré de gouvernance des identités présentent une probabilité d'incident cyber lié aux accès réduite de 58 % par rapport aux établissements sans programme formalisé — une réduction documentée qui justifie économiquement l'investissement dans un dispositif durable.
  • La Commission Européenne (2024) a alloué 37 millions EUR dans le cadre du programme EU4Health pour le financement de programmes de gouvernance des identités numériques dans les établissements de santé des États membres — un signal fort sur la reconnaissance de cet enjeu au niveau stratégique européen.
  • Le modèle de maturité de l'ANS (France, 2023) identifie la pérennisation du programme d'accréditation comme le défi le plus difficile : la moitié des établissements ayant atteint le niveau 3 de maturité y redescendent au niveau 2 dans les deux ans suivants en l'absence de processus de maintien formalisés.

Construire un dispositif d'accréditation sécurisé est une étape — le maintenir durablement est le vrai défi. Les programmes d'accréditation qui s'essoufflent après leur déploiement initial partagent les mêmes causes : portage stratégique qui disparaît après le projet, ressources dédiées réallouées une fois la conformité atteinte, processus non intégrés dans les routines opérationnelles quotidiennes, et mesures d'efficacité non maintenues faute d'intérêt à long terme.

Un dispositif durable d'accréditation est un programme permanent, pas un projet fini. Sa durabilité repose sur trois dimensions : institutionnelle (portage par la gouvernance de l'établissement dans la durée), opérationnelle (processus intégrés dans les pratiques quotidiennes des équipes RH, DSI et cliniques), et technique (outils maintenus, mis à jour et adaptés aux évolutions des systèmes de santé).

Conditions de durabilité institutionnelle

La durabilité institutionnelle d'un dispositif d'accréditation requiert : un propriétaire désigné au niveau direction (le responsable du programme d'accréditation doit avoir une légitimité et des ressources pérennes), des métriques de pilotage présentées régulièrement aux instances de gouvernance (pour maintenir la visibilité et l'intérêt de la direction), et une intégration dans les objectifs annuels des responsables des processus concernés (DRH, DSI, direction médicale).

Conditions de durabilité opérationnelle

La durabilité opérationnelle repose sur l'intégration des processus d'accréditation dans les routines existantes : les processus de désactivation des accès doivent être une étape standard du processus offboarding RH, la recertification des droits doit être un processus annuel rythmé par le calendrier de l'établissement, et la formation sur les responsabilités numériques doit être intégrée dans le parcours d'accueil de tout nouvel arrivant. Ces intégrations éliminent la dépendance à des initiatives ponctuelles non pérennisables.

Adaptation aux évolutions du système de santé

Le dispositif d'accréditation doit évoluer avec les transformations du système de santé : nouveaux outils numériques (applications de téléconsultation, DPI nouvelle génération), nouvelles formes d'exercice (télétravail administratif, télémédecine), nouveaux types d'acteurs (patients acteurs, aidants numériques), et nouvelles exigences réglementaires (EHDS, NIS2, évolutions HDS). Cette adaptation est une fonction permanente qui doit être intégrée dans le programme de gouvernance des identités, pas traitée comme des projets disjoints.

Cas institutionnel : Programme pérenne de gouvernance des identités — NHS England (2022-2025)

Le NHS England a engagé en 2022 un programme triennal de transformation de la gouvernance des identités numériques, avec un financement dédié de 45 millions GBP et une équipe permanente au sein du NHS Digital. La caractéristique principale du programme est sa conception dès l'origine comme un programme permanent et non comme un projet fini : les équipes déployées ne seront pas dispersées après le déploiement initial mais convertiront en opérations récurrentes (maintenance des annuaires, recertifications, formation continue). Les résultats intermédiaires à 18 mois incluent la désactivation de 287 000 comptes orphelins, le déploiement de l'authentification forte pour 98 % des accès aux données cliniques et la réduction de 43 % des incidents liés aux accès non autorisés par rapport à la période pré-programme.

Dispositif d'accréditation durable — cadres documentés
États-Unis — CMS et programmes de cybersécurité permanents en santé (2023)
Le CMS a introduit dans ses Conditions of Participation mises à jour en 2023 l'exigence d'un programme de cybersécurité permanent (pas un projet ponctuel) pour les hôpitaux participant aux programmes fédéraux. Cette exigence inclut explicitement la gestion des identités et des accès comme composante permanente du programme. Le financement de ces programmes peut être pris en compte dans les coûts opérationnels remboursables via Medicare — un mécanisme de financement qui soutient la durabilité des programmes.
Union européenne — NIS2 et pérennisation des mesures de sécurité (2024)
La directive NIS2 impose non seulement la mise en place de mesures de sécurité mais leur maintien dans la durée, avec des obligations de revue périodique et d'adaptation aux nouvelles menaces. Cette obligation de pérennité est explicitement mentionnée dans les lignes directrices d'implémentation publiées par l'ENISA en 2024 — faisant de la durabilité du programme de gouvernance des identités une exigence réglementaire et non optionnelle.
Asie — MOH Singapore programme pluriannuel d'identité numérique (2021-2025)
Singapour a lancé en 2021 un programme quinquennal de gouvernance des identités numériques en santé, financé sur budget public avec des objectifs mesurables à 1, 3 et 5 ans. Ce programme illustre l'approche nationale de durabilité : un engagement pluriannuel avec des jalons documentés, des indicateurs de progrès publiés annuellement, et un mécanisme d'adaptation des objectifs en fonction des évolutions du contexte réglementaire et technologique.

Articles similaires

L’accréditation des praticiens est un enjeu de sécurité organisationnelle

L'accréditation des praticiens est un enjeu de sécurité organisationnelle directement porté par la direction : comptes non désactivés, droits hérités et accès prestataires persistants sont les vecteurs d'intrusion les plus fréquents dans les systèmes de santé.

24 mai 2026 7 min

Pourquoi l’identité professionnelle est un maillon critique du numérique en santé

L'identité professionnelle numérique est le maillon critique de la sécurité des systèmes de santé : usurpation d'identifiants, comptes partagés et droits persistants fragilisent toutes les protections techniques en aval.

24 mai 2026 7 min

Les erreurs fréquentes dans la gestion des habilitations des professionnels

Les erreurs de gestion des habilitations — comptes non désactivés à la sortie, accumulation de droits, profils trop larges, comptes prestataires oubliés — constituent les vecteurs d'accès les plus exploités dans les incidents des systèmes de santé.

24 mai 2026 7 min
WhatsApp