Points clés
- L'investigation post-incident du ransomware WannaCry sur le NHS (Royaume-Uni, 2017) a établi que les accès mal contrôlés aux postes Windows XP non patchés étaient directement liés à des comptes de prestataires disposant de droits administrateurs sur des systèmes cliniques contenant des données patients — une dépendance entre accès professionnels et protection des données non cartographiée avant l'incident.
- Le dossier médical partagé (DMP), désormais intégré dans Mon espace santé (France), ne peut être consulté que par des professionnels habilités via leur carte CPx ou leur identité Pro Santé Connect — illustrant l'architecture nationale qui lie explicitement l'accès aux données de santé à la vérification de l'identité professionnelle.
- Le règlement (UE) 2022/2554 — DORA — impose pour les entités financières (assurance santé, mutuelles) une cartographie des dépendances entre les accès des professionnels tiers et la protection des données clients — une exigence qui s'applique directement aux organismes complémentaires de santé.
Les accès professionnels aux systèmes de santé et la protection des données des patients sont deux dimensions indissociables de la sécurité numérique en santé. Cette interdépendance est souvent traitée comme une évidence théorique sans être traduite en mécanismes de contrôle opérationnels : les organisations savent que les accès non contrôlés exposent les données, mais la cartographie précise de qui accède à quelles données dans quelles conditions est rarement documentée avec la précision nécessaire.
La direction doit comprendre cette dépendance dans sa dimension stratégique : les décisions sur l'organisation des droits d'accès professionnels sont des décisions sur le niveau de protection des données des patients. Un choix de simplification opérationnelle (compte partagé, accès large par défaut, délai de désactivation allongé) est simultanément un choix d'exposition accrue des données de santé.
Cartographier les dépendances entre accès et données
Une cartographie des dépendances entre accès professionnels et données de santé identifie, pour chaque rôle ou profil d'accès, les catégories de données accessibles et leur sensibilité. Cette cartographie permet de répondre à des questions opérationnelles critiques : quels professionnels ont accès aux données de psychiatrie ? Qui peut consulter les prescriptions de produits stupéfiants ? Qui a accès aux dossiers d'oncologie ?
Cette cartographie est un prérequis pour l'application du principe du moindre privilège : on ne peut pas limiter les accès aux données strictement nécessaires si on ne sait pas quelles données sont accessibles via quel profil. Elle est également un outil d'audit : lors d'un incident ou d'une investigation, elle permet d'identifier rapidement quels comptes avaient potentiellement accès aux données exposées.
Conséquences d'une dépendance non cartographiée
Lorsque la dépendance entre accès professionnels et données n'est pas cartographiée, plusieurs risques se matérialisent : des professionnels accèdent à des données sans rapport avec leur mission sans que cet accès ne soit détecté comme anormal (absence de baseline pour la détection d'anomalies), la révocation d'un accès à un système ne supprime pas l'accès aux données si celles-ci sont accessibles via un autre système également lié au même compte, et les obligations de notification RGPD en cas d'incident ne peuvent pas être précisément remplies car le périmètre des données exposées ne peut pas être déterminé.
Intégration dans la politique de sécurité des données
La politique de classification des données de santé (données à caractère strictement médical, données administratives, données de facturation, données de recherche anonymisées) doit être directement articulée avec la politique d'habilitation : chaque catégorie de données doit avoir un ensemble de rôles professionnels habilités à y accéder, définis et approuvés par la direction médicale et la gouvernance de l'établissement, pas seulement par la DSI.
Cette co-gouvernance entre direction médicale et DSI sur les habilitations est un marqueur de maturité organisationnelle : les décisions sur les accès aux données médicales ont une dimension éthique et légale qui dépasse la compétence technique et doit être arbitrée au niveau approprié.
Cas institutionnel : Accès aux données de santé et espace de données européen (UE, 2024)
Le règlement européen sur l'espace européen des données de santé (EHDS — European Health Data Space), adopté en 2024, crée un cadre légal pour le partage des données de santé à des fins de soins et de recherche dans l'UE. Il impose des exigences strictes sur les droits d'accès : seuls les professionnels de santé habilités via des mécanismes d'authentification forte reconnus au niveau européen peuvent accéder aux données patients dans le cadre de l'usage primaire (soins). L'usage secondaire (recherche, statistiques) est soumis à des mécanismes d'autorisation distincts avec des conditions d'accès encadrées. Ce règlement formalise au niveau européen la dépendance entre habilitation professionnelle vérifiée et accès aux données de santé — rendant la gouvernance des identités professionnelles une obligation légale supranationale.
La règle HIPAA impose aux entités couvertes de limiter les accès aux données de santé protégées (PHI) au strict nécessaire pour accomplir la tâche prévue — le "minimum necessary standard". Ce principe opérationnalise directement la dépendance entre accès professionnel et protection des données : chaque accès doit être justifié par une nécessité fonctionnelle documentée. Les audits HHS vérifient régulièrement que les politiques d'habilitation mettent en œuvre ce standard, et les manquements sont sanctionnés.
La CNIL a publié en 2023 des recommandations spécifiques sur l'accès aux données médicales par les professionnels, insistant sur la nécessité d'une cartographie des habilitations par rapport aux données accessibles. Le texte précise que le responsable de traitement (l'établissement de santé) doit être en mesure de démontrer que chaque accès aux données patients est justifié par une habilitation documentée correspondant à une nécessité de soin — une exigence directement opérationnalisable via une cartographie accès-données formalisée.
La Personal Data Protection Act (PDPA) thaïlandaise, entrée en vigueur en 2022, impose aux établissements de santé une cartographie documentée des accès aux données médicales sensibles (Section 26 sur les données sensibles). Les autorités ont précisé lors de premières enquêtes que les établissements ne disposant pas d'une telle cartographie seront présumés en non-conformité en cas d'incident, renversant la charge de la preuve sur la gestion des habilitations.