Partie 2 : Etapes d'un projet de sécurisation de la gestion de la chaine d'identification

Préambule

Le projet de sécurisation de la gestion de la chaine d'identification est un projet avec une forte dimension organisationnelle, plus que technique
  • Le renforcement de la protection de l’accès aux données de santé s’aborde comme un projet de révision des organisations relative à la gestion de l'identification électronique des professionnels
  • La gestion de la chaîne d’identité numérique des professionnels exerçant en établissement de santé passe avant toute chose par la mise en œuvre d’un répertoire d’identité de qualité. En effet, un répertoire d’identités locales, communément désigné comme l’annuaire de la structure, constitue une brique essentielle pour la gestion des moyens d’identification électronique puis pour le contrôle d’accès. Dans cette optique, il est attendu que cet annuaire soit :


Les grandes étapes du projet



Phase 1 : Cadrer la démarche


La phase 1 permet d'avoir tous les éléments nécessaires avant de se lancer sur le déploiement et l'accompagnement au changement. Elle s'assure que tous les sponsors du projet ont les éléments nécessaires pour prendre les décisions sur les ressources du projet. De plus, la gouvernance est définie avec le plan d'action en main pour un déploiement efficace.


Important : comme indiqué dans l'encadré rouge ci-dessous, un des retours importants de la part des lauréats HospiConnect est le fait de s'être assuré d'avoir le support de la direction dans ce projet. Il est primordial de les embarquer dès que possible afin d'avoir les ressources et le support nécessaire dans les phases de déploiement et d'accompagnement au changement ensuite.

Bullseye Objectifs et propositions de rendus finaux de la phase de cadrage
Title
Comprendre les principes réglementaires autour de la sécurisation de la chaîne d’identification électronique
Faire un état des lieux de la gestion de l’identification électronique des professionnels, des contraintes organisationnelles et SI
Définir la cible organisationnelle de l’identification des professionnels
Définir les modalités de sécurisation de l’identification électronique des professionnels
Construire son équipe projet
Définir son plan projet
Construire son plan de communication interne
Objectifs
  • Prendre connaissance du référentiel d’identification électronique ( PGSSI-S ) en utilisant les différents supports mis à disposition par l’ANS
  • Réussir à expliquer la PGSSI-S pour convaincre sa direction du besoin de ressources pour les changements à venir dans sa structure
  • Avoir une vue d’ensemble de la gestion de l’identité, de l’arrivée d’un collaborateur à sa sortie, au sein de son établissement (processus RH, gestion des identités locales, délivrance du MIE, architecture SI…)
  • Mettre en avant le chemin à parcourir pour être conforme au RIE
  • Présenter les conclusions de cet état de lieux aux instances locales
  • Détailler l’ensemble des procédures existantes, leurs contraintes liées à l’organisation et aux différents professionnels et cas d’usage de l’établissement
  •  Cf le focus dédié  
  • Définir les processus RH cibles permettant la sécurisation de l’identification des professionnels
  • Définir les processus d’onboarding des professionnels nouvellement arrivés (nouveau recrutement, interne, stagiaire, intérimaire, vacataire…)
  • Définir les processus cibles de la gestion de l’identité du professionnel dans l’établissement
  • Définir les modalités techniques cibles de sécurisation de l’identification électronique des professionnels au sein de l’établissement en prenant en compte l’amélioration de la simplification de l’expérience utilisateur pour favoriser leur adhésion
  • Réfléchir au choix du moyen d’identification électronique le plus adapté selon les catégories de professionnels
  • Formaliser l’écart avec les modalités de fonctionnement actuel
  • Rassembler une équipe projet avec les différents profils nécessaires au projet afin de mettre en place le plan d’action précédemment établi
  • S’assurer de la disponibilité de chaque membre de l’équipe projet et anticiper les futurs problèmes de charge dans les équipes
  • Mettre en place une comitologie interne pour suivre le projet
  • Définir un planning projet à mettre à jour au fur et à mesure de l’avancée du projet
  • Etablir un premier budget prévisionnel
  • Peaufiner le plan d'action pré-établi avec l'équipe projet désigné
  • Aligner l’ensemble des collaborateurs sur les objectifs stratégiques du projet.
  • Garantir que les informations importantes sont accessibles, diffusées et compréhensibles pour tous
  • Motiver et engager les collaborateurs
  • Soutenir le changement organisationnel
Rendus
Support vulgarisé présentable en Comité de Direction et/ou aux professionnels avec une mise en perspective au sein de l’établissement
Etat des lieux complet et partageable au sein de la structure
Définition des cas d’usage dans la structure
Plan d’actions pour la conformité au RIE
Plan d’actions pour la conformité au RIE
Processus RH cibles
Architecture cible
Moyen d’identification électronique choisi
Plan d’actions pour la conformité au RIE
Processus RH cibles
Architecture cible
Moyen d’identification électronique choisi
Equipe projet défini avec la répartition des tâches
Note de cadrage du projet avec la comitologie, un budget prévisionnel et le planning de définis
Planning de communication
Populations cibles
Principales communications du projet


Phase 2 : Les principaux chantiers du projet


Cette deuxième phase rentre dans le concret en se consacrant davantage au déploiement. Comme évoqué ci-dessus, le projet reste organisationnel : la part la plus importante de celui-ci sera de la définition de processus et de la conduite de changement auprès des utilisateurs. Ces aspects ne sont pas à négliger dans la mise en place de ce projet et les ressources nécessaires doivent être mises à disposition pour une bonne réussite du projet.


https://slite.com/api/files/5BCe-g8Eby0Epc/image.png?apiToken=eyJhbGciOiJIUzI1NiIsImtpZCI6IjIwMjMtMDUtMDQifQ.eyJzY29wZSI6Im5vdGUtZXhwb3J0IiwibmlkIjoiQUQ1a3BmNU9OMzUzbk4iLCJpYXQiOjE3NjgxNjk1NjgsImlzcyI6Imh0dHBzOi8vc2xpdGUuY29tIiwianRpIjoib18wQXVUM1FoblgyX04iLCJleHAiOjE3NzA3NjE1Njh9.fv3UtnAvQ7vS_ITlspL6C5abZ11pAZnfL_SQILXf0E4

Bullseye Objectifs et proposition de rendus finaux pour les chantiers principaux du projet
Title
Faire les changements organisationnels nécessaires
Définir et déployer avec les édieturs les développements techniques nécessaires
Equiper les professionnels d'une identité
Former l'ensemble des professionnels
Déployer le moyen d'identification électronique choisi au sein de l'établissement
Tester les nouveaux processus et organiser le support
Objectifs
  • Adapter ou concevoir les processus internes d’arrivée et de sortie des professionnels, ainsi que de la délivrance de moyen d’identification électronique.
  • Adapter les outils aux transformations des processus et les objectifs organisationnels
  • Analyser les impacts sur les fonctions concernées et prévoir les changements et adaptation nécessaires (ressources, fiches de postes…)
  • Mettre en place le socle technique nécessaire à l’identification et l’authentification des professionnels de l’établissement
  • Organiser les phases de test avec des MIE de test au fur et à mesure du déploiement
  • Embarquer l’ensemble des éditeurs dans le projet
  • Faire l’ensemble des devis
  • S’assurer que chaque professionnel peut être correctement identifié avec ses droits et accès aux outils locaux et nationaux
  • Rédiger les guides et outils nécessaires pour expliquer l’enregistrement national s’appuyant sur ce qui existe au sein de l’Agence
  • Adapter les différents processus RH en fonction de la profession
  • Cartographier les différentes populations et leur besoin en accompagnement
  • S’assurer que l’ensemble des professionnels sont autonomes dans les démarches nécessaires à initier de leur côté
  • Commander et s’assurer que l’ensemble des professionnels sont bien équipés de leur moyen d’identification électronique (MIE) fonctionnel
  • Identifier et commander le matériel nécessaire pour rendre le MIE utilisable (lecteur de carte, Cryptolib si cartes CPx, ordinateur compatible…)
  • Paramétrer le MIE au besoin de chaque utilisateur 
  • Tester la mise en pratique de l’ensemble du projet de bout en bout au sein de l’établissement
  • Identifier les besoins résiduels d’adaptation ou d’amélioration
  • Mettre en place les processus de support nécessaires au maintient en condition opérationnelle des nouveaux processus
Rendus
Processus cibles
Évolution des outils
Analyse des impacts
Plan de mise en place et de gestion des changements
Plan de déploiement technique et devis proposés par les éditeurs
Evolutions techniques nécessaires
Répertoire local des identités à jour
Enregistrement au RPPS de l’ensemble des professionnels
Plan de formation
Supports et guides de formation
Equipement permettant l’utilisation du MIE choisi
Parc de MIE fonctionnel
Planning déploiement
Retour d’expérience du pilote
Processus et ressources support

Light Bulb La méthode de déploiement expérimenté par HospiConnect Alpha : le pilote par service de soins
  • Aucun lauréat de l’appel à projet HospiConnect Alpha n’a déployé les nouveaux processus en big bang sur l’ensemble de la structure : ils ont tous commencé en ciblant certains services de soins et en étendant ensuite petit à petit à tous les professionnels.
  • La méthode de déploiement doit aussi prendre en compte l’enjeu d’éviter d’avoir des professionnels dans un même service avec des processus d’authentification différents.
  • Il peut être intéressant de réfléchir aux différents chantiers avec ce déploiement par pilote.