Sécurité informatique : signaler un incident

Article
Les structures concernées par l'obligation : établissements de santé, hôpitaux militaires, centres de radiothérapie, laboratoires de biologie médicale

Les structures de santé concernées doivent déclarer leurs incidents de sécurité informatique via le portail dédié de signalement des événements sanitaires indésirables.

Qui est concerné par l’obligation de déclarer les incidents liés à la sécurité informatique ?

Depuis le 1er octobre 2017*, doivent signaler sans délai tout incident de sécurité de leurs systèmes d’information :

  • les établissements de santé, 
  • les hôpitaux des armées,
  • les centres de radiothérapie
  • ainsi que les laboratoires de biologie médicale.
*Cette obligation découle de l'article 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016.

Quels incidents déclarer ?

Doivent être déclarées, sans délai, toute action ou suspicion d’action malveillante ayant un impact sur le fonctionnement normal de l’établissement.

Il peut également s’agir d’incidents :

  • sur la sécurité des soins,
  • sur la confidentialité ou l’intégrité des données de santé,
  • sur le fonctionnement normal des établissements, de l’organisme ou d’un service.

Comment déclarer un incident de sécurité informatique ?

Via le portail de signalement des événements sanitaires indésirables https://signalement.social-sante.gouv.fr sur l’espace « professionnels de santé » en renseignant le formulaire dédié.

Quel traitement des incidents de sécurité ?

Les déclarations reçues sur le portail de signalement sont transmises à l’agence régionale de santé compétente et à l’Agence du Numérique en Santé (ANS). L’agence régionale de santé concernée s’appuie sur l’ANS qui analyse la déclaration et qualifie les incidents signalés pour son compte et en informe les autorités compétentes.

Pourquoi déclarer un incident de sécurité numérique ?

La sécurité numérique est au cœur des préoccupations du ministère des affaires sociales et de la santé. L’interconnexion, la multiplication des échanges et le partage des données entre la ville et l’hôpital multiplient les risques liés à la sécurité : piratage, vols ou détournements de données, blocage des systèmes...

La sécurité des systèmes d’information de santé permet que les données de santé soient disponibles, confidentielles, fiables, partagées et traçables. La protection des données de santé est indispensable pour assurer une meilleure coordination des soins et une prise en charge optimale des patients.

Comment prévenir les risques ? Quelles aides pour les établissements ?

Une cellule d’accompagnement opérationnelle a été créée pour accompagner les structures de santé.

Au regard de l’augmentation du nombre d’attaques sur les systèmes numériques des établissements de santé, l’amélioration des actions de prévention et d’assistance devient prioritaire.

Le ministère des Solidarités et de la Santé a mis en place la Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS) afin d’apporter un appui et un accompagnement aux organismes concernés par la déclaration de ces incidents.

Cette cellule est placée sous la responsabilité du Fonctionnaire en charge de la sécurité des systèmes d’informations (FSSI) au sein du Secrétaire général des ministères chargés des affaires sociales.

Les objectifs visés par ce dispositif vont permettre de :

  • renforcer l’analyse et le suivi des incidents pour le secteur santé ;
  • alerter et informer l’ensemble des acteurs de la sphère santé en cas de menaces ;
  • partager les bonnes pratiques sur les actions de prévention, ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.

Un portail dédié à la cybersécurité

Le portail sur la sécurité des systèmes d’information (SSI) cyberveille-sante.gouv.fr informe les professionnels concernés sur les vecteurs de menaces et les bonnes pratiques en matière de sécurité numérique. Il présente des bulletins de veille sur certaines vulnérabilités logicielles critiques ou des menaces sectorielles, des fiches réflexes et des guides pour répondre à différents types d’incidents. Ce portail met également à disposition de la communauté SSI en santé un espace privé pour le partage entre spécialistes de la cybersécurité.