Points clés
- La compromission de SingHealth (Singapour, 2018) — 1,5 million de dossiers patients exposés — a débuté par le vol des identifiants d'un compte utilisateur disposant d'accès excessifs. L'identité professionnelle comme vecteur d'attaque a été exploitée parce que les droits associés dépassaient les besoins fonctionnels réels.
- Le Règlement UE 910/2014 (eIDAS) et son évolution eIDAS 2.0 (règlement UE 2024/1183) établissent un cadre d'identité numérique à valeur légale dans les 27 États membres, incluant des dispositions spécifiques pour les professionnels de santé — faisant de l'identité professionnelle numérique une infrastructure critique du système de santé européen.
- L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) a classifié les systèmes d'authentification des professionnels de santé comme des systèmes d'importance vitale (SIV) dans le cadre de la LPM 2019-2025, reconnaissant officiellement que l'identité professionnelle est une infrastructure critique nationale.
L'identité professionnelle numérique — la capacité à prouver de manière fiable, dans les systèmes d'information, qu'une personne est bien le professionnel de santé qu'elle affirme être — est le maillon sur lequel repose l'ensemble de l'édifice de la sécurité numérique en santé. Si ce maillon est faible, toutes les protections techniques en aval (chiffrement des données, contrôles d'accès, journalisation) sont fragilisées : un attaquant qui dispose d'identifiants légitimes d'un praticien contourne tous ces contrôles.
Pour la direction, la gestion de l'identité professionnelle n'est pas une question informatique mais une question de gouvernance : qui décide quels professionnels ont accès à quels systèmes, sur quelle base de vérification, avec quelle procédure de mise à jour ? Ces décisions engagent la responsabilité de l'établissement vis-à-vis des patients, des régulateurs et des partenaires institutionnels.
Les dimensions de l'identité professionnelle numérique
L'identité professionnelle numérique combine trois dimensions : (1) l'identité personnelle — qui est cette personne (nom, prénom, date de naissance), vérifiée par rapport à un document d'identité officiel, (2) l'identité professionnelle — quel est son statut professionnel (spécialité, mode d'exercice, inscription ordinale), vérifiée par rapport aux registres professionnels officiels, (3) l'identité contextuelle — dans quel établissement exerce-t-elle actuellement, avec quelles responsabilités, vérifiée par le système RH de l'employeur ou le contrat de la structure d'accueil.
Ces trois dimensions doivent être cohérentes et maintenues à jour en permanence. Une discordance entre elles — par exemple, un professionnel dont l'inscription ordinale a été suspendue mais dont l'accès aux systèmes cliniques n'a pas été révoqué — constitue un risque légal et éthique direct pour l'établissement.
Risques spécifiques liés à la gestion de l'identité professionnelle
Les risques les plus fréquents dans la gestion de l'identité professionnelle incluent : l'usurpation d'identité professionnelle (utilisation des identifiants d'un praticien par un tiers, qu'il soit interne ou externe), la persistance d'accès après changement de statut (départ, changement de fonction, suspension disciplinaire), l'accumulation de droits d'accès lors des changements de poste sans révocation des droits antérieurs, et les identités partagées (comptes génériques utilisés par plusieurs professionnels, rendant impossible toute attribution d'acte à un individu).
Les comptes partagés méritent une attention particulière : ils sont encore fréquents dans les unités de soins pour des raisons de praticité opérationnelle (compte de l'unité accessible à tous les soignants de garde). Ces comptes suppriment la traçabilité individuelle des accès aux données de santé — une exigence fondamentale du RGPD et des référentiels de certification HDS (Hébergeur de Données de Santé).
Vers une gouvernance de l'identité professionnelle
La gouvernance de l'identité professionnelle s'appuie sur un annuaire des professionnels maintenu à jour, synchronisé avec les registres officiels (RPPS en France, registres nationaux dans les autres pays de l'UE) et alimentant automatiquement les systèmes d'habilitation. Cette architecture évite les processus manuels de mise à jour qui sont sources d'erreurs et de retards — chaque jour de délai entre un changement de statut professionnel et la mise à jour des accès est une fenêtre de risque.
La direction doit arbitrer sur les niveaux d'authentification requis selon les ressources accédées : un accès à un planning non nominatif n'impose pas les mêmes exigences qu'un accès aux données biologiques d'un patient identifié. La mise en place d'une authentification différenciée, plus forte pour les accès aux données sensibles, permet de concilier sécurité et praticité opérationnelle.
Cas institutionnel : eIDAS 2.0 et l'identité professionnelle de santé (Union européenne, 2024)
Le règlement eIDAS 2.0 (règlement UE 2024/1183, entré en vigueur en mai 2024) introduit le portefeuille d'identité numérique européen (European Digital Identity Wallet — EDIW) et des attestations électroniques d'attributs qualifiés. Pour les professionnels de santé, cela signifie la possibilité d'attacher à leur identité numérique des attributs vérifiés (spécialité médicale, inscription ordinale, habilitations spécifiques) qui peuvent être présentés aux systèmes de santé de manière vérifiable et interopérable à l'échelle européenne. Ce cadre simplifie la vérification de l'identité professionnelle pour les établissements recevant des professionnels mobiles (remplaçants, intérimaires médicaux, coopérations transfrontalières) tout en renforçant les garanties d'authenticité.
Le HHS Office for Civil Rights a précisé dans son bulletin de 2023 sur la cybersécurité HIPAA que la gestion insuffisante des identifiants des professionnels de santé (comptes partagés, mots de passe non changés, accès persistants après départ) constitue une violation des exigences de contrôle d'accès de la règle de sécurité HIPAA. Plusieurs sanctions ont été prononcées spécifiquement pour des lacunes dans la gestion des comptes utilisateurs de professionnels, avec des amendes allant de 100 000 à plusieurs millions de dollars.
La CNIL a infligé en 2022 une sanction de 1,5 million EUR à un établissement de santé pour insuffisance des contrôles d'accès aux données patients, incluant l'utilisation de comptes partagés dans les services de soins. La délibération a explicitement cité l'absence d'authentification individuelle des professionnels comme une violation des obligations de sécurité du RGPD et des référentiels HDS — établissant un précédent directement applicable à la gestion de l'identité professionnelle.
Le Committee of Inquiry de SingHealth a formulé 16 recommandations dont plusieurs portent directement sur la gestion de l'identité professionnelle : suppression des comptes génériques partagés, vérification des identités professionnelles avant attribution de droits d'accès aux données cliniques, et révision semestrielle des droits d'accès de tous les professionnels disposant d'un accès aux bases de données patients. Ces recommandations sont devenues des standards de référence pour les systèmes de santé de la région Asie-Pacifique.