4 mauvaises pratiques à éliminer

Croyez-le ou non, certains se plaignent d’avoir à utiliser un compte avec mot de passe sur les postes d’un établissement de santé !

On ne se rend pas toujours compte de la gravité des risques liés aux mauvaises pratiques jusqu’à ce qu’il ne soit trop tard. Le domaine de la santé est synonyme de responsabilité et d’imputabilité. C’est pourquoi la traçabilité des opérations informatiques doit être l’une des priorités des établissements de santé, de même que le respect de la confidentialité des dossiers des patients.

Voici quelques mauvaises pratiques que notre équipe a observées sur le terrain.

  1. Le manque de mise à jour des profils

Les profils doivent refléter le poste actuel de l’utilisateur puisque des accès et des actions sont réservés à certaines catégories d’utilisateurs.

Le départ d’un professionnel implique un changement de statut à son profil ou sa suppression. Un changement de poste ou de département nécessite peut-être l’acquisition de nouveaux droits ou la perte d’anciens, tout comme l’endossement de nouvelles responsabilités.

Un accès temporaire, souvent générique, ne doit être que temporaire, comme son nom l’indique.

  1. Mot de passe générique ou partagé

Un compte partagé rend presque inutile l’enregistrement des « logs » : l’action peut être trouvée, datée, inscrite dans une chaîne d’événements chronologiques sans problème. Cependant, retrouver l’utilisateur ayant exécuté une action peut se révéler tout un défi.

Inscrire le mot de passe près du poste est encore pire : n’importe qui peut accéder aux informations du poste ou du compte, même s’ils ne sont pas des professionnels de la santé ou des employés autorisés.

  1. Droits génériques

Peut-être que dans certains établissements de santé les droits génériques liés à une catégorie d’utilisateurs sont suffisants et convenables pour tous. Notre expérience nous a plutôt appris que de nombreuses exceptions existent et qu’elles sont justifiées.

Les droits dépendent en fait de la réalité des utilisateurs sur le terrain.

  1. Absence de désactivation automatique

Qui n’a jamais été dérangé à l’improviste ?

N’importe qui, mal intentionné ou non, peut se servir d’un poste ou d’une session en cours. Toutes les actions enregistrées par le registre de journalisation seront attribuées à l’utilisateur ayant oublié de fermer sa session et ses accès réservés pourraient être utilisés afin d’obtenir des informations auxquelles une autre personne ne devrait normalement pas accéder.

Rappelez-vous que vous serez responsables même si quelqu’un d’autre a utilisé votre compte.

Chaque employé devrait donc avoir un profil d’utilisateur unique avec un mot de passe secret. Il en va de la sécurité de tous, professionnels de la santé comme patients.

Quelle mauvaise pratique avez-vous déjà observée dans le milieu ?

En dépit des exemples déplorables qui se multiplient dans les médias, les mauvaises pratiques liées à l’informatique restent un danger pour les établissements de santé. Les professionnels doivent être sensibilisés aux dangers potentiels de leurs actions, car, même sans malice, les risques encourus sont réels et peuvent avoir des conséquences regrettables sur la qualité des soins donnés aux patients.

Connaissez-vous les politiques de sécurité informatique de votre milieu de travail ?

Commentaires

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

x