Qu’est-ce que le contrôle d’accès ?
Les systèmes de contrôle d’accès régulent et restreignent l’accès aux ressources, aux systèmes et aux zones physiques au sein d’une organisation ou d’un système informatique.
Seuls les utilisateurs autorisés disposant des autorisations appropriées peuvent accéder aux documents contrôlés ; par exemple, l’accès à un dispensaire pourrait être limité aux pharmaciens, et seuls certains employés devraient avoir accès aux dossiers médicaux électroniques.
« Accorder l’accès n’est qu’une partie du processus », déclare Carla Wheeler, vice-présidente et RSSI chez Ochsner Health. « Vous devez surveiller en permanence les changements, vérifier les utilisateurs et supprimer l’accès lorsqu’il n’est plus nécessaire. »
Quels sont les types de contrôle d’accès ?
Il existe trois types de systèmes de contrôle d’accès que les équipes informatiques doivent connaître :
1. Contrôle d’accès basé sur les rôles
Pour ce type de contrôle, l’accès dépend des ressources nécessaires pour effectuer une tâche. « Le contrôle d’accès basé sur les rôles peut réduire les frais administratifs, car les autorisations peuvent être attribuées à des rôles plutôt qu’à des individus », explique Gyure.
« Par exemple, nous avons créé un modèle d’infirmière au troisième étage », explique Melissa Rappl, RSSI chez Children’s Nebraska à Omaha, Neb. « Lorsque nous embauchons une nouvelle personne pour cette équipe, nous savons déjà à quels systèmes et ressources elle aura besoin d’accéder. à quoi, et c’est à cela qu’ils sont assignés.
Le contrôle d’accès basé sur les rôles est également utile pour détecter les activités suspectes, ajoute Rappl. « Lorsque nous établissons un journal d’audit, disons que Bob, de l’unité de cardiologie du 5e étage, accède au dossier d’un patient du troisième étage, et ce n’est pas son rôle. Cela va être un drapeau.
2. Contrôle d’accès discrétionnaire
Dans un système de contrôle d’accès discrétionnaire, les informations sont partagées selon le besoin de connaître. Cette méthode décentralise les décisions de contrôle d’accès car le propriétaire des données contrôle qui y a accès.
Pensez à votre OneDrive personnel : vous pouvez le partager avec d’autres personnes ou révoquer l’accès instantanément, à votre propre discrétion.
3. Contrôle d’accès obligatoire
Le contrôle d’accès obligatoire est plus courant dans les contextes gouvernementaux et militaires. Les droits d’accès sont organisés en niveaux tels que « restreint », « confidentiel » et « secret ». L’accès à la ressource est déterminé par le niveau d’autorisation de l’utilisateur.
Les fonctions de confidentialité des dossiers médicaux des enfants peuvent être soumises à un contrôle d’accès obligatoire. L’accès peut être accordé uniquement à certains prestataires et limité à d’autres membres du personnel hospitalier.
