Le signalement des incidents graves de sécurité du SI est obligatoire depuis le 1er octobre 2017 (voir décret à télécharger ci-dessous).
Les incidents graves de sécurité du SI à signaler sans délai sont ceux qui ont des conséquences :
- potentielles ou avérées sur la sécurité des soins ;
- sur la disponibilité, l’intégrité ou la confidentialité des données de santé ;
- sur le fonctionnement normal de l’établissement.
D’une façon plus générale, il est recommandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données.
Les directeurs des structures sont chargés de réaliser cette déclaration, ou désignent une personne déléguée responsable du signalement des incidents via le portail national des signalements https://signalement.social-sante.gouv.fr en sélectionnant "Vous êtes un professionnel de santé" puis "Incident de sécurité des systèmes d'information".
Si le signalement est effectué en heures non ouvrées (au-delà de 18h) ou jours non ouvrés et que le déclarant estime, au regard des impacts constatés et de l’évolution de l’incident de sécurité, avoir besoin d’une aide à la gestion de l’incident dans les plus brefs délais il doit, en parallèle du signalement sur le portail, en informer le Fonctionnaire de Sécurité des Systèmes d’Information (FSSI) des Ministères sociaux à l'adresse ssi@sg.social.gouv.fr.
Le portail Cyberveille propose une aide au signalement d'un incident : consultez l'aide au signalement.
Informations sur le traitement des données à caractère personnel
Les données à caractère personnel qui sont recueillies en vue du traitement des signalements reçus sont conservées pendant la durée nécessaire à la gestion du signalement.
Les destinataires de ces signalements sont :
- la Cellule Accompagnement Cybersécurité des Structures de Santé (ACSS) ;
- le personnel de l’ARS Pays de la Loire du service en charge du numérique ;
- le référent régional Sécurité des SI de Santé du GCS esanté Pays de la Loire.
Le droit d’opposition ne s’applique pas. Le traitement a fait l’objet d’une déclaration à la CNIL sous le n° 2108474. Conformément à la loi informatique et liberté n° 78-17 du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès, de rectification ou de suppression des données qui vous concernent. Vous pouvez exercer ce droit en vous adressant à l’ARS Pays de la Loire, 17 Boulevard Gaston Doumergue - CS 56233 - 44262 NANTES cedex 2.
En cas d’incident impactant votre système d’information provoquant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données, il est important d’alerter la chaîne de sécurité des systèmes d’information des ministères sociaux ainsi que l’ARS Pays de la Loire :
- ssi@sg.social.gouv.fr (Fonctionnaire de Sécurité des SI des Ministères sociaux)
- ssi-PDL@ars.sante.fr