Cybersécurité : l’obligation de signalement des incidents étendue aux établissements médico-sociaux (instruction)

13/06/202372

PARIS
(TICsanté) – L’obligation de déclaration des incidents significatifs ou graves de sécurité des systèmes d’information (SI) a été étendue aux établissements
médico-sociaux, et la procédure associée au traitement de ces signalements a été précisée dans une instruction publiée au Bulletin officiel (BO) le 31 mai.

« La présente instruction précise les évolutions apportées par l’ordonnance n°2020-1407 du 18 novembre 2020 relative aux missions des agences régionales de santé (ARS) et par le décret n°2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des SI », peut-on lire dans le texte.

Depuis le décret n°2016-1214 du 12 septembre 2016 relatif aux conditions de traitement des incidents graves de sécurité des systèmes d’information du secteur santé, les établissements de santé, mais également les hôpitaux des armées, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins (notamment les laboratoires de biologie médicale et les centres de radiothérapie), sont soumis à l’obligation de signaler ces incidents.

Toutefois, « tous les incidents de sécurité impactant les hôpitaux militaires remontent uniquement dans la chaîne de  traitement cyber du ministère des armées », est-il précisé, mais, « selon la nature de l’incident et son degré de confidentialité », le ministère des armées en informe le service du haut fonctionnaire de défense et de sécurité (HFDS) et le CERT Santé qui, en cas d’impact sanitaire, « en informera sans délai l’ARS concernée ».

Pour rappel, le signalement se fait sur le portail des signalements opéré par l’Agence du numérique en santé (ANS) qui pilote, en coordination avec le service du HFDS, le CERT Santé.

Désormais « les établissements médico-sociaux sont soumis à l’obligation de déclarer la survenue d’incidents significatifs ou graves de sécurité de leurs SI », souligne l’instruction.

« Cette obligation s’applique également aux incidents susceptibles de toucher d’autres établissements, organismes ou services, notamment en cas d’attaque pouvant se propager vers d’autres entités soit par rebond depuis l’établissement touché soit à la suite d’un incident provoqué par un sous-traitant victime d’une attaque et fournissant des services à plusieurs établissements. »

Le nouveau dispositif place l’ANS, via le CERT Santé, « au centre de la gestion des signalements des établissements de santé et médico-sociaux ». Tous les signalements lui remontent directement via le portail des signalements des événements sanitaires indésirables (PSIG).

Le formulaire de déclaration doit être renseigné sur le portail des signalements, et le déclarant fournit « toutes les informations dont il dispose au moment
de la découverte de l’incident » et notamment « les informations permettant d’identifier la structure concernée par l’incident »; « la description de l’incident, notamment la date du constat, le périmètre de l’incident, les SI et données concernées et l’état de la prise en charge »; « la description de l’impact de l’incident sur les données, les personnes, les SI et la structure » et « les causes de l’incident si celles-ci sont identifiées ».

Pour rappel, depuis l’automne 2022, le CERT Santé a étendu son service de réponse à incident aux heures non ouvrées, soit 24h/24 et 7j/7.

« Il est désormais de la responsabilité du CERT Santé d’informer sans délai tout signalement à la fois vers l’ARS concernée et vers le pôle FSSI [fonctionnaire de sécurité des systèmes d’information], que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire », détaille l’instruction publiée le 31 mai.

Les ARS et les groupements régionaux d’appui au développement de l’e-santé (Grades) dans certaines régions « continueront à disposer d’un compte d’accès au PSIG » pour récupérer les signalements d’incident de sécurité des SI.

« Dans le scénario d’un incident susceptible d’avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l’offre de soins, le signalement doit être également remonté sans délai par le CERT Santé au Corruss [Centre opérationnel de régulation et de réponses aux urgences sanitaires et sociales] de la direction générale de la santé (DGS). »

L’obligation de déclaration à la Commission nationale de l’informatique et des libertés (Cnil) par l’établissement victime d’un incident ayant entraîné l’indisponibilité, le vol ou la perte de données de santé demeure, « dans les conditions prévues au règlement général sur la protection des données (RGPD) ».

Concernant les opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) du secteur santé, « l’évolution de ce dispositif de signalement se fait sans préjudice des autres déclarations obligatoires », note l’instruction.

(Bulletin
officiel santé-protection sociale solidarité du 31 mai, pages 178-182
)

Wassinia Zirar
Wassinia.Zirar@apmnews.com