Le contrôle d’accès basé sur les attributs (ABAC) redéfinit la manière dont les données sensibles, notamment dans le domaine de la santé, sont protégées. Cette approche, loin d’être une simple codification, s’appuie sur une compréhension fine des données elles-mêmes, allant au-delà des simples étiquettes de sécurité pour une gestion des risques plus nuancée et adaptative.
Au cœur de l’ABAC résident trois concepts clés : les attributs, les classifications et les autorisations. Les attributs sont les caractéristiques intrinsèques des données – tout élément descriptif. Parmi eux, les « tags de sensibilité » (SLS – Sensitivity Label Tags) jouent un rôle important, mais tout attribut peut servir de base à une décision de sécurité. Les politiques de sécurité définissent ensuite des classifications de données, qui déterminent leur niveau de protection. Ces classifications peuvent découler des tags de sensibilité, mais aussi de tout autre attribut pertinent. Enfin, les autorisations, qui correspondent aux rôles des utilisateurs (praticiens FHIR, équipes soignantes, groupes OAuth, etc.), sont associées à des classifications de données spécifiques. L’accès est accordé si l’autorisation d’un utilisateur correspond à la classification des données.
Contrairement à une idée reçue, l’ABAC ne repose pas exclusivement sur des balises de sécurité préétablies. « N’importe quel attribut peut donc être utilisé », souligne-t-on. Un exemple concret est le code de catégorie d’une observation de « signes vitaux ». Ces informations, bien que médicales, ne présentent pas de sensibilité particulière, dispensant ainsi d’une analyse plus poussée. De plus, certaines règles de sécurité, comme celles liées à l’auteur d’une donnée ou à sa période de validité, ne peuvent être implémentées uniquement via des balises. L’ABAC permet d’intégrer ces éléments directement dans la logique de contrôle d’accès.
Alors, pourquoi recourir aux balises de sécurité dans ce cadre ? L’utilisation des « tags de sensibilité » et d’un service dédié à leur gestion simplifie grandement l’implémentation du contrôle d’accès. Ce service devient le référentiel central de la connaissance du modèle de données et des informations médicales. Il « doit comprendre FHIR. Le SLS doit comprendre les connaissances médicales et les relations entre la complexité des connaissances médicales », explique-t-on. En résumant ces informations complexes en un ensemble de codes, stockés dans l’élément `.meta.security` de chaque ressource FHIR, le système de contrôle d’accès n’a plus besoin de décortiquer la structure complète des données. La règle concernant les « signes vitaux », par exemple, serait gérée au niveau du SLS, évitant ainsi de dupliquer cette logique ailleurs.
Concernant l’attribution de ces données, plusieurs approches sont envisageables. L’idée que le patient puisse marquer ses propres données comme sensibles est possible, mais moins courante. Une approche privilégiée consiste à formaliser ce besoin dans le consentement du patient, où il liste explicitement les ressources considérées comme sensibles. Cela a l’avantage de ne pas modifier les données elles-mêmes, mais de gérer les permissions associées, offrant ainsi une meilleure traçabilité et souplesse.
L’étiquetage par le clinicien (Praticien) est une autre possibilité, souvent rencontrée dans les environnements militaires. Cependant, « s’est avéré inutilisable avec les cliniciens » dans la pratique médicale courante, rendant cette méthode moins pertinente pour définir les balises.
Enfin, la question de l’évolution des balises de sécurité dans le temps se pose. Si les données elles-mêmes sont censées conserver leur nature intrinsèque – une donnée sur le « genre » reste une donnée sur le genre – l’interprétation et la sensibilité associée peuvent évoluer avec la connaissance médicale. Par exemple, un médicament autrefois anodin peut, avec de nouvelles découvertes sur ses usages (comme le traitement de la toxicomanie), devenir sujet à des précautions accrues. Dans ces cas, une réévaluation des données et de leurs classifications peut devenir nécessaire.