Aujourd'hui, de plus en plus de prestataires de santé accélèrent leurs initiatives de transformation numérique. Cela concerne non seulement la construction de systèmes et d’architectures modernes, mais également la création et le stockage des informations médicales telles que les dossiers médicaux des patients et les informations de facturation en format électronique.
Protéger la confidentialité, la sécurité et l'intégrité de ces données sensibles doit être l'une des principales priorités des prestataires de santé pour éviter toutes failles de sécurité ainsi que les conséquences financières et sur la réputation qui peuvent en découler.
Comprendre qui a accès aux données sensibles stockées dans les fichiers et les applications, et vérifier si cet accès est approprié, compte tenu du profil de l’utilisateur, est une étape critique pour répondre aux exigences en matière de sécurité et de règlementation. Plus les interactions entre les individus et le volume de données sécurisées sont élevés, plus la gestion des identités et des accès à son importance, particulièrement dans ce secteur où la quantité de données personnelles est considérable. Toutefois, de nombreux prestataires de santé luttent pour faire entrer leurs outils et leurs procédés de gestion des identités et des accès (IAM) dans l’ère du 21e siècle.
La nature variante du personnel
L'une des principales problématique à résoudre est la nature mouvante des postes occupés par le personnel. Médecins, infirmières, auxiliaires médicaux, spécialistes et bien d’autres profils encore occupent parfois des fonctions différentes. Du spécialiste en clinique à l’étudiant, en passant par le chercheur et l’assistant médical, chaque fonction doit être prise en compte. En outre, le personnel évolue dans différents services et locaux, et chaque responsabilité exige un accès à des systèmes d'information différents. Dans ce scénario complexe, comment garantir que les bonnes personnes disposent du bon accès au moment où elles en ont besoin ? Comment garantir que l'accès a été révoqué une fois les fonctions modifiées ? Mettre en place une stratégie d’IAM efficace est encore plus difficile dans ce contexte. Par exemple, les niveaux de sécurité appropriés à chaque personne peuvent varier considérablement et rapidement en fonction de leur niveau de responsabilité dans le cadre des soins apportés aux patients.
Des exigences règlementaires croissantes
Le secteur de la santé est l'un des secteurs les plus règlementés, avec des exigences de conformité de plus en plus strictes. Par exemple, la loi ASIP n°2016-41 du 26 janvier 2016 conduit à mettre en place une certification des entreprises offreuses de services d’hébergement de données de santé. Les conditions d’hébergement de données de santé à caractère personnel sont ainsi encadrées par l’article L.1111-8 du code de la santé publique et nécessite de répondre à des critères spécifiques pour être en mesure d’héberger ces données. Cela exige que les prestataires et les organisations de santé, ainsi que leurs partenaires commerciaux, élaborent et suivent des procédures qui garantissent la confidentialité et la sécurité des données de santé protégées à chaque fois qu'elles sont transmises, reçues, traitées ou partagées.
Cette exigence spécifique au secteur de la santé s’ajoute au fardeau règlementaire que les prestataires de santé partagent avec d'autres secteurs comprenant notamment la norme PCI DSS (Payment Card Industry Data Security Standard) pour la protection des données sur les cartes de crédit. La violation de l'une de ces règlementations, qu’il s’agisse de divulgation, de partage ou de vol des données de santé protégées, entraîne de lourdes pénalités financières ou des conséquences irréparables pour la réputation de l'organisation. Afin de respecter les dispositions règlementaires actuelles, les prestataires de santé doivent procéder à des contrôles spécifiques suivant activement les procédures par lesquelles l'accès est fourni aux utilisateurs tout au long de leurs relations avec l'organisation. Malheureusement, il s'agit d'un processus complexe qui ne peut être géré manuellement ou automatisé, compte tenu du nombre d'utilisateurs et d'applications qui doivent être pris en compte.
Des environnements d'applications hétérogènes
La complexité à laquelle font face les équipes de gestion des risques informatiques et de sécurité dans le secteur de la santé s'accroît de jour en jour. C'est particulièrement vrai lorsqu'il s'agit de protéger l'accès à certaines données et applications sensibles des organisations. Ce qui était auparavant une tâche relativement simple - gérer des applications au sein d'un réseau d'organisations - est devenu de plus en plus complexe, car les applications sont désormais réparties sur le site et dans le cloud. Les solutions logiciels EMR (Electronic Medical Records) proposées par les fournisseurs constituent la base des environnements informatiques des prestataires de santé. Alors que, traditionnellement, ces solutions ont été livrées sur site, un grand nombre de ces fournisseurs s’adaptent à l’environnement IT très évolutif en apportant des solutions qui peuvent être déployées dans le cloud public ou privé. La complexité générale des systèmes de santé, associée à un environnement informatique hétérogène constitué d'applications et de solutions de stockage de données sur site et dans le cloud, peut rapidement dépasser les approches traditionnelles de la gestion des accès et des identités.
Bien que les prestataires de santé continuent de faire évoluer leur activité afin d'offrir des services médicaux intégrés, ils font face à un besoin croissant de gestion des accès à des systèmes internes pour de nouveaux types d'utilisateurs. Cette population dispersée comprend non seulement des employés et des sous-traitants, mais également des partenaires commerciaux, des fournisseurs, des régulateurs, des consommateurs finaux et des patients. La relation unique de chaque type d'utilisateur définit le niveau spécifique d'accès souhaité pour soutenir la relation. Par exemple, un médecin qui n'est pas directement employé par un hôpital demande un accès à certaines applications pour effectuer de la chirurgie. Toutefois, puisque le médecin a une relation de tiers avec l'organisation, son accès est intrinsèquement plus risqué et doit être traité de manière appropriée. S'ils ne traitent pas l'ensemble de l'accès utilisateur à travers la totalité des composants, les prestataires peuvent avoir un impact sur la livraison des services aux clients, ou pire, exposer l'organisation à des risques significatifs en matière de sécurité et de règlementation.
Plusieurs prestataires de santé ont relevé les défis avec brio grâce à l’intégration des solutions d'IAM pour automatiser, renforcer et effectuer le suivi des accès dans les entreprises. Par conséquent, ces prestataires de santé ont pu se concentrer sur l'amélioration de la qualité des soins apportés aux patients et sur la productivité des soignants en gérant le risque et la protection des données en toute facilité.