Les enjeux de la gouvernance des identités dans les secteur de la santé, du public et de l’enseignement

• Produit et technologie

La gouvernance des identités (Identity Governance) est désormais un sujet d’attention évident au sein des organisations.
Alors qu’avec l'IAM (Identity & Access Management), vous gérez les identités et les droits d’accès dans l’environnement IT, la gouvernance de l'identité (Identity Governance) va un peu plus loin. La gouvernance consiste à garder la maîtrise de cette gestion des identités et des accès dans un environnement en évolution rapide, avec des exigences toujours plus strictes. Nous voulons donc pouvoir surveiller, évaluer, maintenir et améliorer la gestion des comptes et des droits. Qui reçoit certains droits d’accès, et savons-nous pourquoi ? Cet accès est-il toujours nécessaire, et sur quels éléments nous fondons-nous pour l’affirmer ? Ce sont des questions de plus en plus importantes.

L’importance de ce sujet augmente significativement, car les organisations se numérisent à grande vitesse. Les utilisateurs passent en permanence d’une application à l’autre, d’un réseau à l’autre et d’un appareil à l’autre. Dans cette dynamique, il faut gérer les droits d’accès pour des dizaines, voire des centaines d’applications, alors que nous savons parfois à peine où ces applications sont hébergées, quelles données sont traitées et avec qui elles sont partagées.

Cela entraîne des risques considérables. Si nous ne gardons pas la maîtrise de nos applications, de nos données et de nos utilisateurs, le risque de fuites de données et d’autres cyberincidents est élevé. Les dommages ne se limitent pas à la perte de chiffre d’affaires et aux coûts de remédiation. C’est aussi très préjudiciable pour notre réputation et nous expose à des réclamations et/ou à des amendes. C’est notamment pour cette raison que la gouvernance figure en bonne place à l’agenda des managers et des dirigeants.

Dans ce blog, nous examinons les enjeux de gouvernance présents dans quelques secteurs importants. Quel rôle ce sujet joue-t-il dans la le secteur de la santé, le secteur public et l’enseignement ? Nous dressons cet inventaire à l’aide d’un cas concret, d’une présentation du secteur dans son ensemble, et nous avons rassemblé des points de friction fréquents.

Identity governance dans le secteur de la santé

Une infirmière expérimentée est affectée à plusieurs services, et reçoit donc l’accès aux dossiers des patients des services concernés. Les droits ne sont ensuite pas retirés et, au final, cette collaboratrice « accumule » ainsi l’accès aux données de traitement dans l’ensemble des services. Cela se comprend dans l’idée qu’un personnel soignant expérimentée doit pouvoir intervenir rapidement partout, mais cela va à l’encontre du principe du « moindre privilège ».

Les défis de la gouvernance dans le secteur de la santé

Dans la santé, il est crucial que les professionnels de santé aient à tout moment accès à toutes les données nécessaires pour traiter et prendre en charge les patients ou les clients. Le défi est qu’il s’agit de données à caractère personnel sensibles, puisqu’il est question de données médicales, que l’organisation doit conserver de manière confidentielle. Il faut donc protéger ces données de manière renforcée, sans que cela ne conduise jamais à les rendre inaccessibles lorsqu’elles sont nécessaires. Ce sont des dilemmes complexes.

Il s’agit en outre d’un groupe d’utilisateurs vaste et diversifié. Non seulement les médecins et les infirmiers, mais aussi le personnel de support et les intervenants externes ont besoin d’un accès. Souvent, ils ont plusieurs rôles, ces rôles changent régulièrement, et les plannings de service sont dynamiques. Cela rend la gestion du cycle de vie de l'Identité (Identity Lifecycle Management) très complexe.

En outre, les soins ne sont pas fournis de manière isolée par un seul établissement. Des professionnels qui collaborent, dans des hôpitaux, des centres de rééducation et des cabinets de médecine générale par exemple, ont besoin d’accéder aux systèmes et aux données des uns et des autres. Et cela dans un paysage IT fragmenté, où des applications modernes sont utilisées en parallèle de systèmes beaucoup plus anciens. Cela complique le pilotage centralisé et la visibilité.

Problèmes et risques fréquents en matière d’identity governance

• Les médecins et les infirmiers conservent l’accès à des dossiers en dehors de leur relation de soins, par exemple après un changement de service ou de planning. Les données patients deviennent ainsi inutilement accessibles à un cercle trop large.

• Les intervenants externes n’obtiennent parfois pas de comptes personnels et utilisent donc l’accès de collègues ou des comptes génériques. Cela est indésirable et contraire aux principes des normes de sécurité de l’information telles que la certification HAS.

• Les comptes et droits d’accès des collaborateurs, stagiaires ou intervenants externes ayant quitté l’organisation restent actifs, ce qui peut entraîner des fuites de données et expose les établissements à des risques concernant les données de leurs patients.

• Les professionnels de santé cumulent des fonctions, par exemple médecin et chercheur, ce qui entraîne des autorisations peu claires et un risque accru d’accès trop étendu aux données médicales.

• Les autorisations sont souvent gérées via des formulaires ou par e-mail, ce qui génère des erreurs et empêche l’existence d’un enregistrement centralisé des demandes et de leur évaluation.

Importance de l’identity governance dans la santé

Dans le secteur de la santé, nous devons donc protéger strictement les données patients tout en les maintenant immédiatement accessibles pour le traitement et la prise en charge. Et cela dans un environnement complexe, avec de nombreux professionnels de santé en rotation constante, des rôles variables et une collaboration entre établissements et systèmes. Une identity governance professionnelle, qui vous permet de garder la maîtrise de la gestion des droits, est donc cruciale.

L'Identity governance dans le secteur public

Un agent quitte la collectivité dans laquelle il a pendant des années, évalué des demandes complexes de licences d’exploitation. Dans son nouvel emploi du secteur privé, il va conseiller des entreprises sur les demandes d’autorisation. Lors de son départ de la collectivité, il a correctement restitué son matériel conformément aux règles, mais il découvre ensuite que son compte sur le système de gestion des dossiers de la commune est toujours actif. Un cas typique où la tentation est trop grande.

Les défis de la gouvernance dans le secteur public

Les organisations publiques se caractérisent par une combinaison de complexité, de responsabilité publique et de forte réglementation. Les administrations traitent de grandes quantités de données concernant les citoyens et les entreprises, ce qui crée de sérieux défis en matière de confidentialité, de sécurité et de traçabilité.

La structure organisationnelle est complexe et fragmentée, avec plusieurs niveaux, organismes d’exécution et partenaires de chaîne. Malgré toutes les tentatives d’harmonisation, il existe encore de nombreux systèmes et processus propres. Y compris des systèmes legacy, souvent encore partagés avec d’autres organismes publics. Les activités sont en outre menées par un mélange d’agents internes, de collaborateurs d’organisations partenaires et d’intervenants externes.

Dans ce paysage complexe, une grande attention est bien portée aux accès sécurisés et transparents, y compris à la journalisation, à l’audit et aux mécanismes de contrôle. Mais en raison de la complexité de l’environnement dans lequel ils sont utilisés, il est souvent difficile de les exploiter réellement de manière optimale. Et chaque erreur de l’administration se retrouve naturellement immédiatement sous les projecteurs.

Les problèmes et risques fréquents en matière d’identity governance

• Les droits d’accès à différents systèmes sont répartis entre, entre autres, les communes, les organismes d’exécution et les ministères. Cela complique le contrôle à l’échelle de la chaîne et augmente le risque d’accès non autorisé aux données des citoyens.

• Lors de changements de fonction, de détachements ou de départs, les droits restent souvent actifs. Les collaborateurs conservent ainsi l’accès à des systèmes sans nécessité réelle.

• Les rôles et autorisations diffèrent selon les organisations et les systèmes, ce qui crée des incohérences. Cela rend difficile l’application centralisée des politiques, et complique les audits et la reddition de comptes vis-à-vis des autorités de contrôle.

• Il n’est souvent pas suffisamment clair de savoir qui consulte les données des citoyens, à quel moment et dans quel but. Cela rend difficile la détection des consultations non autorisées ou des abus de données.

• En raison de paramétrages trop larges, des collaborateurs peuvent à la fois évaluer et approuver des demandes, par exemple pour des permis ou des prestations. La séparation des tâches n’est pas traduite dans les droits d’accès, ce qui accroît le risque d’abus.

L'importance de l’identity governance dans le secteur public

Les organisations publiques traitent d’énormes quantités de données sensibles et doivent pouvoir en rendre compte à tout moment. Dans le même temps, il existe une structure fragmentée avec une multitude de systèmes, y compris des applications anciennes, et d’utilisateurs. Cela complique la supervision et entraîne des problèmes notamment au niveau de la politique d’autorisation et de la séparation des tâches. Évoluer vers une identity governance complète, avec contrôle et pilotage continus, est donc très important pour améliorer la qualité et la conformité.

L'identity governance dans le secteur de l’éducation

Dans l’établissement d’enseignement supérieur où il travaille, un professeur bénéficie de droits d’accès configurés de manière trop large et permissive. Cette configuration lui permet non seulement d’accéder à ses propres systèmes et données, mais aussi aux applications d’autres formations, où il peut consulter et modifier des notes sans difficulté, sans qu’aucun contrôle ne soit exercé.

Les défis de la gouvernance dans le secteur de l’éducation

Dans le secteur de l’éducation, vous êtes confronté à une population d’utilisateurs dynamique et souvent jeune. Les étudiants arrivent et partent, changent d’études ou de rôle, et ont souvent besoin d’un accès temporaire à différents systèmes. Cela est également lié au fait qu’au sein d’un même établissement, étudiants et enseignants cumulent souvent plusieurs rôles. Un étudiant en dernière année peut par exemple aussi occuper un poste d’enseignant ou d’assistant. Il existe aussi beaucoup de dynamique parmi les collaborateurs, en particulier le personnel enseignant, notamment pour organiser les remplacements.

Cela impose des exigences élevées en matière de gestion du cycle de vie des identités, car les droits doivent être attribués puis retirés en permanence. Cela se produit en outre dans une culture ouverte et orientée vers la collaboration, où le partage des connaissances et la coopération sont des principes de base. Il est alors plus difficile d’appliquer strictement le principe du « moindre privilège ».

De plus, de nombreux établissements d’enseignement sont organisés de manière décentralisée. Dans l’enseignement fondamental, il existe des structures de coopération regroupant des dizaines d’écoles, et dans l’enseignement professionnel, les hautes écoles et les universités, les départements et facultés disposent souvent d’une grande autonomie. Il est alors difficile de garantir de manière centralisée la gestion des identités et des droits. En générale, les moyens consacrés à la gestion IT sont souvent limités, et l’on travaille de manière créative avec des applications cloud et des solutions externes.

Les problèmes et risques fréquents en matière d’identity governance

• Les comptes ne sont pas toujours fermés après l’obtention du diplôme ou le départ, ce qui permet à certaines personnes de conserver l’accès aux environnements numériques d’apprentissage, aux applications de recherche ou aux fichiers partagés.

• Pour faciliter le déroulement de l’enseignement et des travaux de groupe, les étudiants et les enseignants reçoivent parfois davantage d’accès que ce qui serait autorisé selon les règles internes. Il en résulte que certaines personnes obtiennent involontairement un accès, par exemple, à des données à caractère personnel.

• Les périodes d’arrivée et de progression régulières entraînent de nombreux changements, ce qui rend difficile le maintien à jour de tous les droits. En conséquence, les étudiants et les enseignants conservent souvent l’accès à des systèmes et à des données personnelles non pertinents.

• Les facultés et les formations ou sous-formations ont leurs propres processus et gèrent leurs propres applications et données. Il en résulte l’absence d’une vue d’ensemble centralisée des droits d’accès aux systèmes d’enseignement et de recherche.

• Pour les projets de groupe, la recherche et la collaboration en général, les étudiants et les enseignants font souvent un usage créatif de solutions numériques hors de la visibilité des départements IT. Par ce type de shadow IT , des données sensibles liées à l’enseignement ou à la recherche peuvent involontairement se retrouver en dehors de l’environnement contrôlé de l’établissement.

L'importance de l’Identity governance dans le secteur de l'éducation

Le secteur de l'éducation se caractérise par une population d’utilisateurs dynamique et relativement vulnérable, avec des rôles variables et des accès temporaires. Cela rend une bonne gestion du cycle de vie des identités primordiale, mais aussi complexe. Cela accroît le risque que des comptes restent actifs inutilement trop longtemps et que trop de droits soient accordés. En outre, le secteur est confronté à un usage créatif du shadow IT. L’identity governance peut aider les établissements à mieux maîtriser la gestion des accès, notamment grâce à une meilleure supervision et à un pilotage ciblé.

L’importance de l’identity governance

Bien que les secteurs diffèrent, les défis liés à l’identity governance présentent des similitudes claires. Dans tous les secteurs traités, on retrouve des structures d’utilisateurs complexes, des systèmes fragmentés et un équilibre difficile entre, d’une part, la facilité d’utilisation et l’accessibilité, et d’autre part, la sécurité des accès.

L’un des plus grands défis communs est le lifecycle management (la gestion du cycle de vie). En pratique, l’ajustement et le retrait en temps voulu des droits d’accès s’avèrent difficiles à organiser. Cela conduit rapidement à un trop grand nombre de droits d’accès et aux risques associés. Une vue d’ensemble de l’attribution des droits fait également souvent défaut. Sans visibilité claire sur les personnes ayant accès à quels systèmes, une gouvernance efficace est impossible.

Et l’impact est important. Dans le secteur de la santé, les erreurs affectent directement la confidentialité et la sécurité des patients, dans le secteur public, elles nuisent directement à la confiance des citoyens, et dans l’éducation, il ne s’agit pas seulement de la qualité de l’enseignement et de la recherche, mais avant tout des données relatives aux étudiants.

Comment mieux maîtriser votre identity governance ?

L’identity governance n’est pas une question purement technique, mais une nécessité stratégique. Les organisations doivent savoir qui a accès à quels systèmes et pourquoi. Cela aide à réduire les risques et à rester conforme. Avec une stratégie IAM solide et des solutions de gouvernance, vous obtenez davantage de contrôle. Des fonctionnalités telles que la reconciliation, la recertification et le role mining aident à contrôler et à optimiser les droits.

Vous souhaitez en savoir plus ? Consultez la solution de gouvernance de Tools4ever :