L’imputabilité est la « responsabilité d’une entité par rapport à ses actions et ses décisions.
Au sein d’un système d’information, l’imputabilité vise :
- à attribuer à chaque utilisateur ou à chaque machine l’intégralité des actions qu’il a effectuées sur le système d’information ;
- à s’assurer que chaque action est attribuée de façon univoque à l’utilisateur ou la machine l’ayant effectuée.
Toute action qui peut être imputée à une machine relève in fine de la responsabilité d’une personne physique ou morale. Afin de couvrir la multiplicité des actions possibles sur les systèmes d’information, deux types d’imputabilité sont distinguées :
- l’imputabilité des modifications ;
- l’imputabilité des consultations.
Quel que soit le type de données modifiées : données métiers, paramétrages, code applicatif,…
Source : Référentiel d’imputabilité, Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), 2014 – V1.0, p. 9
Voir aussi : Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé.
L’imputabilité des modifications contribue à augmenter le niveau d’assurance de l’intégrité des données traitées par le système d’information en démontrant que ces données sont intègres, c’est-à-dire qu’elles n’ont été modifiées que dans le cadre d’une action légitime, par des utilisateurs ou des machines ayant le droit d’effectuer cette action.
L’imputabilité des consultations est en revanche plus complexe à mettre en oeuvre. En effet, les informations, qu’un système d’information peut fournir sur une opération de consultation, peuvent permettre d’identifier l’utilisateur ayant effectué l’opération technique de consultation. Mais elles ne peuvent en revanche pas rendre compte des conditions de consultation (éventuels observateurs ayant pu consulter l’information à l’écran, consultation partielle de l’utilisateur qui n’a pas pris connaissance de l’intégralité des informations …).