Signaler les incidents de sécurité informatique
Toutes les structures sanitaires ont l’obligation depuis début octobre 2017, de signaler les incidents de sécurité informatique. Elles ont à leur disposition pour ce faire le portail permettant de signaler tout événement sanitaire indésirable.
Une obligation issue de la loi de modernisation de notre système de santé
Cette obligation, qui résulte de l’article 110 de la loi de modernisation de notre système de santé du 26 janvier 2016, concerne tout établissement de santé, hôpital des armées, centre de radiothérapie, et laboratoire de biologie médicale.
Les établissements de santé, les organismes et services qui réalisent des activités de prévention, de diagnostic ou de soins, ont une obligation de déclaration des incidents graves touchant la sécurité des systèmes d’information (article L.111-8-2 du code de la santé publique).
Les conditions de signalement, de traitement sans délai des incidents graves affectant la sécurité des systèmes d’information sont précisées dans le décret d’application 2016-1214 du 12 septembre 2016.
L’ASIP Santé est chargée de la définition et de la mise en œuvre du dispositif national d’appui que constitue la cellule ACSS, dispositif opérationnel depuis le 1er octobre 2017.
Il s’agit de la cellule ACSS (Cellule Accompagnement Cybersécurité des Structures de Santé), placée sous la responsabilité du FSSI (fonctionnaire chargé de la sécurité des systèmes d’information), au sein du secrétaire général des ministères chargés des affaires sociales.
L’obligation de déclarer les incidents de sécurité informatique
La sécurité des SI de santé suppose que la disponibilité des données de santé, leur confidentialité, leur fiabilité, leur partage et traçabilité soient garantis.
On peut noter que les risques liés à la sécurité numérique sont accrus de par l’interconnexion, les besoins de dématérialisation des données, la hausse des échanges et des partages de données entre la ville et l’hôpital.
Piratages, vol ou détournement de données, intrusions et blocages des systèmes ,… sont ainsi multipliés.
Protéger ces données de santé est nécessaire pour permettre la mise en oeuvre de soins mieux coordonnés, et des prises en charge des patients optimisées. Les mesures concernant la sécurité des systèmes d’information doivent ainsi par exemple être décrites dans la fiche de sécurité des ESMS.
La déclaration obligatoire porte sur les actions, ou suspicions d’actions malveillantes, qui ont un impact sur le bon fonctionnement de l’établissement.
Outre les incidents ayant un impact sur le fonctionnement normal de l’organisme, établissement/service, la déclaration concerne aussi un incident portant préjudice à la sécurité des soins, la confidentialité ou l’intégrité des donnés de santé.
Il peut ainsi s’agir d’actions à l’origine d’une indisponibilité (partielle ou totale) des systèmes d’information, d’une perte de données ou corruption de celles-ci, ….
Pour réaliser cette déclaration, les responsables de l’établissement peuvent se rendre sur le portail de signalement des événements indésirables : www.signalement.social-sante.gouv.fr/ .
Il suffit pour ce faire de se rendre sur l’espace dédié aux professionnels de santé, et de documenter le formulaire dédié.
Cette déclaration incombe au directeur de la structure ou à défaut à une personne qu’il aura désignée, responsable du signalement des incidents.
Tout signalement fait ensuite l’objet d’une communication à l’ARS concernée, ainsi qu’à l’ASIP (Agence des systèmes d’information partagés de santé (ASIP).
L’ASIP va ensuite analyser la déclaration réalisée et qualifier l’incident pour le compte de l’ARS qui procédera aux informations nécessaires auprès des autorités concernées.
La cellule fonctionne du lundi au vendredi de 9h à 18h (en dehors de ces jours ouvrés, le FSSI peut être saisi directement par mail).
La cellule ACSS de l’ASIP Santé informe l’établissement déclarant de la prise en compte et de l’analyse de son signalement.
Le cas échéant, pour mieux qualifier l’incident et mettre en place des réponses adaptées, l’ARS et l’ASIP Santé peuvent solliciter la structure pour des compléments d’information.
Un portail dédié à la sécurité des systèmes d’information
Les structures de santé concernées par la déclaration de ces incidents ont la possibilité d’être accompagnées.
L’appui peut porter sur la formulation de mesures d’urgence limitant l’impact de l’incident, de mesures de remédiation, de recommandations ou propositions permettant d’améliorer la sécurité des SI concernés.
La démarche rendue obligatoire depuis octobre dernier, permettra d’une part d’améliorer l’analyse et le suivi des incidents dans le secteur de la santé, d’autre part faciliter l’alerte et l’information de tous les acteurs de santé en cas de menace.
Il s’agira enfin de renforcer le partage des bonnes pratiques (actions de prévention, réponse aux incidents,).
Au final, sont visés la réduction des impacts et l’amélioration des systèmes.
En appui de cette démarche, le gouvernement a développé un nouveau portail concernant la sécurité des systèmes d’information (Portail d'Accompagnement Cybersécurité des Structures de Santé).
On trouve sur ce portail des informations à destination des professionnels sur les menaces, sur les bonnes pratiques en termes de sécurité numérique.
Sont par exemple recensées certaines vulnérabilité logicielles critiques, des menaces sectorielles, des fiches réflexes ou des guides de réponse à différents types d’incidents.
Ce portail dispose aussi d’un espace privé de partage à destination des spécialistes de la cybersécurité.
Pour en savoir plus : Ouverture de la cellule Accompagnement Cybersécurité des Structures de Santé