Points clés
- Le NHS (Royaume-Uni, UE) a documenté en 2023 que 34 % de ses incidents de sécurité impliquaient des accès réalisés avec des identifiants de praticiens ayant quitté l'organisation — des comptes non désactivés constituant une porte d'entrée persistante dans les systèmes cliniques.
- L'hôpital universitaire de Düsseldorf (Allemagne, UE, 2020) a subi une attaque ransomware dont l'investigation a révélé que le vecteur initial était un compte VPN de prestataire externe disposant encore d'un accès actif six mois après la fin du contrat. L'accréditation insuffisamment maîtrisée a permis l'intrusion initiale.
- Le programme MSSanté (France) impose depuis 2021 la vérification de l'identité professionnelle via le Répertoire Partagé des Professionnels de Santé (RPPS) pour tout accès aux messageries sécurisées de santé — illustrant que l'accréditation des praticiens est devenue un prérequis réglementaire et non une option organisationnelle.
L'accréditation des praticiens — processus de vérification, d'attribution et de maintien des droits d'accès aux systèmes numériques de santé — est un pilier de la sécurité organisationnelle souvent sous-estimé au niveau de la direction. Alors que les investissements en cybersécurité se concentrent fréquemment sur les protections périmètriques (firewalls, antivirus, EDR), les incidents d'accès non autorisé révèlent systématiquement des défaillances dans les processus d'accréditation plutôt que dans les protections techniques.
Pour la direction d'un établissement de santé ou d'une organisation du secteur médico-social, la gestion des accréditations est une responsabilité directe : les décisions sur qui peut accéder à quoi, dans quelles conditions et pour quelle durée, sont des décisions organisationnelles qui ne peuvent pas être déléguées entièrement à la DSI sans un cadre de gouvernance défini au niveau stratégique.
Pourquoi l'accréditation est un enjeu de sécurité organisationnelle
Les systèmes d'information de santé contiennent des données parmi les plus sensibles qui existent : dossiers médicaux, historiques de traitement, données de prescription, résultats d'examens biologiques et d'imagerie. L'accès à ces données par des personnes non habilitées — qu'il s'agisse d'un accès malveillant externe ou d'un accès interne non autorisé — constitue une violation des droits fondamentaux des patients et engage la responsabilité légale de l'établissement.
La distinction entre "l'accès technique est possible" et "l'accès est autorisé" est la frontière que l'accréditation maintient. Sans processus d'accréditation rigoureux, cette frontière s'estompe : des praticiens disposent d'accès hérités de fonctions précédentes, des prestataires conservent des accès au-delà de leurs interventions, des comptes partagés permettent des accès non traçables. Chacune de ces situations représente un risque organisationnel autant que technique.
Les composantes d'un processus d'accréditation efficace
Un processus d'accréditation efficace dans le secteur santé comprend : (1) la vérification des qualifications professionnelles (inscription aux ordres, validité des diplômes, absence de suspension disciplinaire) avant l'attribution de tout droit d'accès aux données cliniques, (2) l'attribution de droits conformes au principe du moindre privilège (accès limité aux données strictement nécessaires à la fonction exercée), (3) la révision périodique des droits pour s'assurer qu'ils correspondent toujours à la fonction actuelle du professionnel, (4) la désactivation systématique et immédiate à la cessation de la relation professionnelle.
Ces quatre étapes forment un cycle continu — l'accréditation n'est pas un événement unique à l'entrée mais un processus vivant qui suit l'évolution des fonctions et des relations professionnelles. Les organisations qui gèrent l'accréditation comme un processus d'entrée uniquement accumulent une dette d'accréditation qui se matérialise en incidents.
L'accréditation comme levier de confiance numérique
Dans un contexte de développement des échanges de données de santé (messageries sécurisées, DMP, télémedecine, partage de résultats entre établissements), l'accréditation des praticiens est la condition de confiance du système : elle garantit que l'interlocuteur numérique identifié comme "Dr X" est bien le Docteur X, qu'il exerce dans le cadre déclaré et qu'il dispose des autorisations réglementaires correspondantes. Cette garantie est le fondement de la confiance numérique dans les échanges médicaux.
Les identités numériques professionnelles (carte CPx en France, identités eIDAS dans l'UE pour les professionnels de santé) permettent une authentification forte liée à l'identité professionnelle réelle. Leur généralisation est un investissement organisationnel qui simplifie la gestion des accréditations en la rattachant aux registres professionnels officiels plutôt qu'à des processus internes manuels.
Cas institutionnel : Programme d'identité numérique des professionnels de santé — France (2021-2024)
La France a engagé depuis 2021 un programme structuré de renforcement de l'accréditation numérique des professionnels de santé, articulé autour du Répertoire Partagé des Professionnels de Santé (RPPS) géré par l'ANS (Agence du Numérique en Santé). Ce programme impose la vérification de l'inscription au RPPS pour l'accès aux outils numériques de santé réglementés (messagerie MSSanté, DMP, Mon espace santé). Les établissements de santé doivent maintenir la synchronisation entre leur annuaire interne et le RPPS, garantissant que seuls les professionnels ayant une inscription active et valide disposent d'accès aux ressources numériques partagées. Ce programme illustre comment une gouvernance nationale de l'accréditation simplifie la charge locale pour les établissements tout en renforçant la fiabilité globale du système.
Le rapport annuel du Ponemon Institute sur les coûts des violations de données dans le secteur santé (2023) indique que 35 % des incidents dans les hôpitaux américains impliquent des accès internes non autorisés, dont la majorité résulte d'accréditations trop larges ou non révisées. Le coût moyen d'un incident de ce type dépasse 1,3 million de dollars en incluant les coûts forensiques, les notifications obligatoires et les mesures de remédiation — justifiant économiquement l'investissement dans un programme d'accréditation rigoureux.
L'attaque ransomware sur l'hôpital universitaire de Düsseldorf, ayant entraîné le détournement d'une patiente urgente vers un autre hôpital et considérée comme potentiellement liée à un premier décès cyber en Allemagne, a exploité un compte VPN actif d'un prestataire externe dont le contrat s'était terminé. L'enquête a établi que l'absence de processus formel de désactivation des accès à la fin des contrats prestataires était la cause directe du vecteur d'intrusion initial.
La plus grande violation de données médicales de l'histoire de Singapour (1,5 million de dossiers dont ceux du Premier Ministre) a mis en évidence des failles dans la gestion des comptes à privilèges des administrateurs systèmes — des comptes dont les droits d'accès dépassaient les besoins opérationnels. L'enquête du Committee of Inquiry a formulé des recommandations directes sur la révision périodique des droits d'accès administrateurs comme mesure fondamentale de gouvernance.