HospiConnect : ce que les établissements de santé doivent savoir sur le programme 2026-2028

• Produit et technologie

Les cyberattaques contre les hôpitaux se multiplient depuis plusieurs années, et la chaîne d'identification des professionnels reste l'un des maillons les plus fragiles des systèmes d'information hospitaliers. C'est précisément ce point de vulnérabilité que le programme HospiConnect entend traiter, avec un dispositif de financement national déployé sur trois ans.

Pour les DSI, RSSI et directions d'établissement, l'enjeu est double : sécuriser durablement les accès au SIH, tout en bénéficiant d'une fenêtre de financement public qui ne se représentera pas. Voici ce qu'il faut comprendre du programme, de ses objectifs, et de ce qui est attendu dès cette année.

Voici ce qu'il faut comprendre du programme, de ses objectifs, et de ce qui est attendu dès cette année.

Un programme national sur trois ans

Le dispositif HospiConnect, piloté par l’ANS, s'inscrit dans la deuxième phase du programme HOP'EN 2 et couvre les exercices 2026, 2027 et 2028.

Son but est d'élever le niveau de sécurité numérique dans le secteur de la santé, en agissant sur deux fronts complémentaires : sécuriser et simplifier la chaîne d'identification électronique des professionnels et, préparer les prérequis nécessaires à la consultation de Mon espace santé / DMP depuis les logiciels métiers.

Le dispositif se décline en deux volets. Le premier, HospiConnect/HOP'EN 2, finance la transformation des pratiques et des organisations — gestion des identités, gestion des accès, consultation du DMP. Le second, HospiConnect/CaRE, finance le socle matériel nécessaire au déploiement de l'authentification à deux facteurs.

Le programme s'adresse à l'ensemble des établissements de santé, publics comme privés.

Pour les établissements organisés en GHT, la candidature est portée par l'établissement support pour le compte de toutes les entités juridiques du groupement bien que chaque note de cadrage doit être déclinée à la maille du GHT mais aussi à celle de l’établissement juridique

Des financements conditionnés à des objectifs précis

C'est la mécanique centrale du dispositif HospiConnect/HOP’EN 2: les financements sont versés annuellement sur la base de l'atteinte d'objectifs (cibles) vérifiés par l'ARS et l'ANS.
Les cibles sont progressives, les objectifs atteint une année doivent également l'être l'année suivante dans une logique de montée en puissance (ci-joint tableau des objectifs)

Parmi ces objectifs, deux constituent selon nous le socle à court terme à activer en priorité, parce qu'ils conditionnent tous les autres :

• La fiabilisation de l'identité des professionnels.

• La gestion automatisée des comptes.
  

Objectif 1.1 — L'identifiant RPPS des utilisateurs est connu du DPI.
Pour les professions à professions à enregistrement obligatoire (médecins, infirmiers, sages-femmes, kinésithérapeutes, psychologues, orthophonistes…), le RPPS existe par construction : l'enjeu est de le récupérer et de l'injecter dans le DPI.
La vraie difficulté se situe sur les professionnels "à rôle" et les populations spécifiques (aides-soignants, secrétaires médicales, ARC, intérimaires, vacataires, internes en début de cursus) pour qui l'enregistrement passe par le portail RPPS+ géré par l'établissement, et n'est ni automatique ni exhaustif. L’établissement doit alors identifier qui doit être enregistré, et fiabiliser ces identités dans son référentiel interne.

Objectif 1.2 — Les permissions d'accès au DPI sont mises à jour lors des mouvements de personnel.
C'est l'objectif le plus structurant côté SI. Il impose que toute arrivée, tout départ et tout changement de poste se traduise automatiquement par la création, la modification ou la révocation des accès — sans dépendre d'un ticket manuel à la DSI ou d'un fichier Excel transmis par la DRH.
Concrètement, cela signifie connecter le SIRH aux applications métier, structurer les habilitations par rôles et profils, et mettre fin aux comptes "orphelins" qui restent ouverts des mois après le départ d'un agent.

Zoom sur 2026 : l'année du cadrage

De nombreux d'établissements imaginent devoir déployer dès cette année des solutions techniques lourdes : nouvelle brique IAM, MIE 2FA pour tous, intégration DMP,etc. Ce n'est pas le cas. 2026 est avant tout une année de cadrage et d'auto-évaluation, conçue pour poser les fondations d'un déploiement maîtrisé en 2027 et 2028.

L'objectif est double : comprendre où l'établissement se situe aujourd'hui, et formaliser la trajectoire pour atteindre les cibles. Concrètement, deux livrables sont attendus avant le 26 juin 2026.

1. Évaluer la maturité de la gestion des identités numériques

Premier réflexe : se regarder dans le miroir. L'ANS met à disposition un référentiel d'indicateurs de maturité Identification Électronique (IE), à compléter sur la plateforme Convergence. Cette auto-évaluation, structurée en cinq paliers, couvre quatre domaines :

• la Gestion des identités numériques des professionnels (source de vérité, rapprochement RPPS, populations spécifiques),

• la Gestion des droits et des accès (matrices d'habilitation, propagation des mouvements, comptes à privilèges),

• les Moyens d’identification électroniques (SSO, MFA, CPX, Fido),

• les Services numériques (cartographie des applications, criticité, niveaux d'exposition),

• la Gouvernance (pilotage, arbitrage, sensibilisation des équipes).

Cet exercice peut sembler administratif, mais il a une vraie valeur opérationnelle.
Il objective les écarts entre la situation actuelle et les cibles 2027-2028, identifie les chantiers prioritaires, et fournit la base factuelle sur laquelle construire la trajectoire. Pour beaucoup d'établissements, c'est la première fois que l'état réel de la gestion des identités est cartographié de bout en bout.

2. Déposer une note de cadrage

Une fois la maturité évaluée, l'établissement formalise sa trajectoire 2026-2028 dans une note de cadrage déposée auprès de l'ARS. Le template officiel (différent selon qu'il s'agit d'un établissement seul ou d'un GHT) couvre notamment :

• le périmètre fonctionnel et applicatif concerné — DPI et applications associées, niveau de convergence à l'échelle d'un GHT le cas échéant,

• l'organisation actuelle du cycle de vie des identités : qui est la source de vérité ? comment sont gérés les arrivées, départs et mobilités ? comment traite-t-on les intérimaires, internes, étudiants, ARC ?

• la déclinaison des objectifs HospiConnect au niveau local, avec les populations cibles et les arbitrages déjà rendus (choix de MIE, évolutions logicielles nécessaires, etc.),

• la gouvernance projet : instances de pilotage, équipe projet, articulation avec la CME et les directions,

• le calendrier, les jalons clés, et les risques identifiés (dépendances éditeurs, planning Ségur vague 2, etc.).

C'est un document stratégique : il sert à la fois de feuille de route interne et d'engagement vis-à-vis de l'ARS. Plus la note est précise et la maturité bien évaluée, plus la suite du programme se déroule sans mauvaise surprise et plus les financements 2027 et 2028 sont sécurisés.

Ce que nous apportons :

une expertise opérationnelle au cœur des enjeux IAM

Face aux exigences du programme HospiConnect, beaucoup d’établissements disposent aujourd’hui d’une vision partielle de leur maturité réelle, et surtout des moyens concrets pour atteindre les cibles attendues. C’est précisément sur ce point que nous intervenons.

Nous apportons d’abord un regard expert, construit sur plus de 25 années d’expérience et de projets réussis dans des environnements complexes, notamment hospitaliers. Cette expérience nous permet d’identifier rapidement les écarts critiques, d’éviter les angles morts classiques (populations spécifiques, comptes techniques, gestion des exceptions) et de prioriser les actions à forte valeur et bénéfices directement mesurables.

Notre positionnement est directement aligné avec le cœur du dispositif : l’Identity and Access Management (IAM). Nous intervenons sur :

• l’industrialisation de la gestion des identités,

• la structuration des habilitations par rôles et profils,

• l’automatisation du cycle de vie des comptes utilisateurs (arrivées, mobilités, départs),

• et l’intégration avec les briques existantes (SIRH, O365, Exchange, DPI, applications métiers).

En tant qu’éditeur et intégrateur, nous avons une compréhension fine des contraintes terrain : hétérogénéité des SIH, dépendance aux éditeurs, organisation en GHT, réalités opérationnelles des équipes. Cela nous permet de proposer une approche pragmatique, progressive et adaptée à chaque établissement, loin des transformations théoriques ou trop ambitieuses.

Un accompagnement structuré dès 2026

Nous proposons un accompagnement ciblé pour sécuriser les premières étapes du programme :

• Une évaluation de maturité et ateliers de cadrage
  Animation d’ateliers avec les équipes métiers et IT pour analyser la situation actuelle, compléter le référentiel ANS et identifier les écarts prioritaires.

• Un appui à la rédaction de la note de cadrage
  Structuration du document, formalisation des choix, alignement avec les attentes des ARS et sécurisation des engagements

• La définition d’une feuille de route sur 3 ans
  Élaboration d’un plan de transformation réaliste, avec un déploiement par étapes, des jalons clairs et une priorisation alignée sur les cibles HospiConnect.

Cette approche pose les fondations d’un projet IAM réussi : une vision claire, des objectifs atteignables, et une trajectoire maîtrisée, conditions « sine qua non » pour sécuriser les financements et réussir la transformation.

Vous souhaitez en savoir plus ? Consultez la solution de gouvernance de Tools4ever :