Signaler un incident de sécurité des systèmes d'informations

Service
Etablissements de santé Etablissements et services médico-sociaux
La dématérialisation des données de santé et l'interconnexion croissante des systèmes d'information augmentent le risque d'incident
La dématérialisation des données de santé et l'interconnexion croissante des systèmes d'information augmentent le risque d'incident. @Fotolia

Depuis le 1er octobre 2017, le signalement des incidents graves de sécurité du système d'information est obligatoire pour les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins. Ci-dessous la procédure à suivre pour signaler ce type d'incident.

Le signalement des incidents graves de sécurité du SI est obligatoire depuis le 1er octobre 2017 (voir décret à télécharger ci-dessous).

Les incidents graves de sécurité du SI à signaler sans délai sont ceux qui ont des conséquences :

  • potentielles ou avérées sur la sécurité des soins ;
  • sur la disponibilité, l’intégrité ou la confidentialité des données de santé ;
  • sur le fonctionnement normal de l’établissement.

D’une façon plus générale, il est recommandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données.

Les directeurs des structures sont chargés de réaliser cette déclaration, ou désignent une personne déléguée responsable du signalement des incidents via le portail national des signalements https://signalement.social-sante.gouv.fr en sélectionnant "Vous êtes un professionnel de santé" puis "Incident de sécurité des systèmes d'information".

Si le signalement est effectué en heures non ouvrées (au-delà de 18h) ou jours non ouvrés et que le déclarant estime, au regard des impacts constatés et de l’évolution de l’incident de sécurité, avoir besoin d’une aide à la gestion de l’incident dans les plus brefs délais il doit, en parallèle du signalement sur le portail, en informer le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des Ministères sociaux à l'adresse ssi@sg.social.gouv.fr.

Le portail Cyberveille propose une aide au signalement d'un incident : consultez l'aide au signalement.

 

 

Informations sur le traitement des données à caractère personnel

Les données à caractère personnel qui sont recueillies en vue du traitement des signalements reçus sont conservées pendant la durée nécessaire à la gestion du signalement.

Les destinataires  de ces signalements sont :

  • la Cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) ;
  • le personnel de l’ARS Pays de la Loire du service en charge du numérique ;
  • le référent régional Sécurité des SI de Santé du GCS esanté Pays de la Loire.

Le droit d’opposition ne s’applique pas. Le traitement a fait l’objet d’une déclaration à la CNIL sous le n° 2108474. Conformément à la loi informatique et liberté n° 78-17 du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès, de rectification ou de suppression des données qui vous concernent. Vous pouvez exercer ce droit en vous adressant à l’ARS Pays de la Loire, 17 Boulevard Gaston Doumergue - CS 56233 - 44262 NANTES cedex 2.

En cas d’incident impactant votre système d’information provoquant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données, il est important d’alerter la chaîne de sécurité des systèmes d’information des ministères sociaux ainsi que l’ARS Pays de la Loire :