Sécurité informatique: un décret détaille les incidents devant être signalés par les établissements de santé

PARIS, 19 septembre 2016 (TICsanté) - Un décret détaille les catégories d'incidents de sécurité des systèmes d'information (SI) des établissements et services de santé devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente.

Ce texte est pris en application de l'article 110 de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements.

La loi prévoit un signalement "sans délai" à l'ARS, qui fait suivre à son tour aux "autorités compétentes de l'Etat" les incidents jugés "significatifs".

Les organismes concernés par la procédure de signalement sont les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie, selon le décret.

La déclaration des incidents graves de sécurité des SI doit permettre aux autorités concernées, notamment l'Agence nationale de sécurité des systèmes d'information (Anssi), d'adapter sa stratégie de sécurité des SI, et aider les établissements à "prendre toute mesure utile" pour en prévenir la survenue ou en limiter leurs effets.

"Sont considérés comme incidents graves de sécurité" des SI "les événements générateurs d'une situation exceptionnelle", dont ceux "ayant des conséquences potentielles ou avérées sur la sécurité des soins", "des conséquences sur la confidentialité ou l'intégrité des données de santé" et les incidents "portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service", dispose le décret.

"Sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services", est-il ajouté.

La déclaration des incidents à l'ARS incombe au directeur de l'établissement concerné. L'agence régionale est "responsable" de leur qualification et doit à son tour transmettre les incidents significatifs à l'Agence des systèmes d'information partagés de santé (Asip santé).

Cette dernière doit assurer l'analyse de ces incidents, fournir un appui aux ARS en organisant des retours d'expérience et proposer des mesures d'aide au traitement des incidents, et gérer le traitement de données relatif aux signalements.

L'Asip santé devra informer sans délai le service du haut fonctionnaire de défense et de sécurité (HFDS) des ministères chargés des affaires sociales de tout signalement analysé, ainsi que les services de la direction générale de la santé (DGS) pour tout signalement "susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins".

Elle devra établir un rapport annuel statistique portant sur les "signalements anonymisés" des incidents, qui sera rendu public.

L'attribution de cette compétence de supervision à l'Asip santé est nouvelle, puisque lors des débats à l'Assemblée nationale, le député Gérard Bapt (PS, Haute-Garonne) souhaitait confier cette responsabilité à l'Anssi, note-t-on.

Un arrêté précisera les modalités de signalement et de traitement des incidents.

Plus de 1.300 attaques informatiques ont été recensées contre les établissements de santé en 2015, avait indiqué en avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales, lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis) (voir dépêche du 8 avril 2016).

(Décret n°2016-1214 du 12 septembre 2016, Journal officiel du mercredi 14 septembre, texte 15)

Source

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique destiné à la société Claranet afin de nous permettre de traiter la demande pour laquelle vous nous sollicitez. Les destinataires des données sont les services marketing et commerciaux du groupe Claranet. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Veuillez-vous rapportez à la section des mentions légales de notre site internet pour de plus amples informations sur les modalités d’exercice de ces droits. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
7 + 7 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support