Points clés
- Un audit de conformité HDS conduit en 2023 sur 15 établissements de santé français a identifié dans 12 d'entre eux des comptes administrateurs dont les mots de passe n'avaient pas été changés depuis plus de 24 mois — un signal d'alerte direct sur la maturité du processus de gestion des accréditations.
- Medibank Private (Australie, 2022) — compromission de 9,7 millions de dossiers médicaux — a débuté par le vol d'identifiants d'un compte disposant de droits administrateurs excessifs, identifiés a posteriori comme provenant d'un broker de données sur le dark web. Le signe avant-coureur était présent dans les logs mais n'avait pas été configuré pour déclencher une alerte.
- Le référentiel PGSSI-S (Politique Générale de Sécurité des Systèmes d'Information de Santé) impose en France une revue annuelle des comptes à droits élevés dans les établissements de santé — une exigence dont le non-respect est un signal d'insuffisance du dispositif d'accréditation détectable lors des audits.
Identifier un dispositif d'accréditation insuffisamment maîtrisé avant qu'un incident ne survient est un exercice de diagnostic organisationnel que les directions doivent être capables de conduire sans attendre un audit externe. Plusieurs signaux d'alerte sont directement observables : ils ne requièrent pas d'expertise technique approfondie mais une connaissance des indicateurs qui distinguent une gestion des accréditations mature d'une gestion défaillante.
Ces signaux ne sont pas des certitudes d'incident imminent mais des indicateurs de vulnérabilité : leur présence cumulative augmente significativement la probabilité qu'un incident impliquant des accès non autorisés survienne. Leur traitement préventif est systématiquement moins coûteux que la remédiation post-incident.
Signaux organisationnels d'une accréditation insuffisamment maîtrisée
Absence de processus documenté de désactivation. Si l'organisation ne dispose pas d'une procédure écrite décrivant qui déclenche la désactivation des accès lors d'un départ, dans quel délai et comment la vérification est effectuée, la gestion des accréditations repose sur des initiatives individuelles non fiables.
Impossibilité de lister les comptes actifs en moins d'une heure. Une organisation dont la DSI ne peut pas produire rapidement la liste des comptes utilisateurs actifs et leurs droits associés ne dispose pas des outils de supervision nécessaires à une gestion maîtrisée des accréditations. Cette incapacité est un signal d'absence de gouvernance des identités.
Présence de comptes partagés dans les services cliniques. Les comptes génériques de service ou d'unité utilisés par plusieurs professionnels sont des contournements des exigences d'authentification individuelle. Leur présence signale que les contraintes opérationnelles n'ont pas été résolues et que la traçabilité des accès est insuffisante.
Délai inconnu entre départ d'un professionnel et révocation de ses accès. Si la direction ne peut pas répondre à la question "dans combien de temps les accès d'un professionnel qui part aujourd'hui seront-ils révoqués ?", le processus n'est pas maîtrisé. La réponse attendue est un délai défini, idéalement automatisé, et vérifiable.
Signaux techniques d'une accréditation insuffisamment maîtrisée
Les signaux techniques complémentaires incluent : présence dans les logs d'authentification de connexions depuis des horaires incompatibles avec l'exercice professionnel déclaré (connexions nocturnes sur des comptes de praticiens en activité diurne), connexions simultanées depuis des localisations géographiquement distantes (impossible pour un utilisateur humain sans partage d'identifiants), comptes sans connexion depuis plus de 90 jours mais toujours actifs, et nombre de tentatives d'authentification échouées anormalement élevé sur certains comptes.
Ces signaux techniques sont détectables par les équipes DSI sans outils sophistiqués : une requête SQL sur l'annuaire Active Directory ou LDAP peut produire la liste des comptes inactifs depuis N jours ou des comptes dont le mot de passe n'a pas changé depuis X mois. L'absence de ce type de vérification périodique est elle-même un signal d'immaturité du dispositif.
Conduite d'un diagnostic d'accréditation
Un diagnostic d'accréditation peut être conduit en deux étapes : un audit documentaire (existence et adéquation des politiques et procédures) et un audit d'état (état réel des comptes par rapport aux politiques). L'écart entre les deux — politique existante mais non appliquée — est souvent plus fréquent et plus dangereux que l'absence de politique, car il donne une fausse assurance sur le niveau réel de sécurité.
Cas institutionnel : Méthode d'audit des accréditations — ENISA Healthcare (UE, 2023)
L'Agence de l'Union Européenne pour la Cybersécurité (ENISA) a publié en 2023 un guide d'audit de la cybersécurité dans les établissements de santé incluant une méthodologie de diagnostic des dispositifs d'accréditation. Le guide identifie cinq niveaux de maturité, du niveau 1 (accréditation non documentée) au niveau 5 (accréditation automatisée, synchronisée avec les registres professionnels et soumise à recertification continue). Sur les 25 établissements de santé européens inclus dans l'échantillon du guide, aucun n'atteignait le niveau 5, et 60 % se situaient aux niveaux 1 ou 2. Ce diagnostic ENISA a fourni un cadre de référence que les équipes de direction peuvent utiliser pour positionner leur établissement et définir des objectifs d'amélioration réalistes.
La compromission de Banner Health (3,7 millions de patients exposés) a exploité des identifiants de point de vente de cafétéria pour pivoter vers les systèmes cliniques — démontrant qu'une accréditation insuffisamment segmentée permet des déplacements latéraux inattendus. Le signal d'alerte — des accès atypiques depuis un compte de point de vente vers des serveurs cliniques — était présent dans les logs mais aucun processus de surveillance des accès inter-systèmes n'était en place.
L'attaque ransomware sur le Centre Hospitalier de Versailles en décembre 2022 a conduit l'ANSSI à une intervention d'urgence. Le rapport post-incident a identifié parmi les signaux d'alerte préexistants : des comptes de prestataires actifs non révisés depuis plusieurs mois et des droits d'accès administrateurs distribués plus largement que nécessaire dans les équipes IT. Ces signaux auraient pu être identifiés lors d'un audit interne des accréditations.
L'investigation post-incident de Medibank a révélé que le compte compromis disposait de droits d'accès aux bases de données patients bien au-delà de ce que sa fonction de prestataire IT nécessitait — un signal d'accréditation excessive qui aurait dû apparaître lors d'une revue des droits d'accès prestataires. L'absence d'une telle revue formalisée est directement citée dans le rapport de l'Australian Signals Directorate (ASD) comme facteur aggravant.