Signaler un incident de sécurité des systèmes d'informations (SSI)

Service
Etablissements de santé Etablissements et services médico-sociaux

Le signalement des incidents graves de sécurité du SI est obligatoire pour les établissements de santé, les laboratoires de biologie médicale et les centres de radiothérapie ainsi que pour les structures médico-sociales.

Le dispositif de signalement des incidents significatifs ou graves de sécurité du SI est destiné à :

  • Mettre en lumière des mesures de prévention en matière de sécurité des systèmes d'information ou permettant d'assurer la continuité de la prise en charge sanitaire ;
  • Aider les établissements médico-sociaux à prendre toute mesure utile pour prévenir la survenue d'incidents significatifs ou graves de sécurité des systèmes d'information ou en limiter les effets.

Les incidents graves de sécurité des systèmes d’information ont des conséquences :

  • potentielles ou avérées sur la sécurité des soins ;
  • sur l’intégrité ou la confidentialité des données de santé ;
  • sur le fonctionnement normal de l’établissement ;

Cette obligation s’applique également aux incidents ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et ceux qui sont susceptibles de toucher d’autres établissements et organismes ou services.

La déclaration s’effectue via le portail de signalement des évènements sanitaires indésirables par le directeur de la structure ou la personne désignée à cet effet : en sélectionnant "Vous êtes un professionnel de santé" puis "Cybersécurité / Incident de sécurité des systèmes d'information".

D’une façon plus générale, il est recommandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données.

Le portail Cyberveille propose une aide au signalement d'un incident : accédez au formulaire de signalement.

Si le signalement est effectué en heures non ouvrées (au-delà de 18h) ou jours non ouvrés et que le déclarant estime, au regard des impacts constatés et de l’évolution de l’incident de sécurité, avoir besoin d’une aide à la gestion de l’incident dans les plus brefs délais, il peut, en parallèle du signalement sur le portail, en informer le CERT-Santé à l'adresse cyberveille@esante.gouv.fr (ou au 09 72 43 91 25) en mettant ssi-pdl@ars.sante.fr et ssi@esante-paysdelaloire.fr en copie.

Ce signalement s’effectue sans préjudice des autres déclarations obligatoires ; à noter qu'en cas de violation de données à caractère personnel, la structure devra réaliser une déclaration auprès de la CNIL et déposer plainte en cas d'incident d'origine malveillante (cf. ci-dessous).

Références :

  • Décret n° 2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information
  • Décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d'information

Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.

Si lors de votre incident, des données à caractère personnel ont fait l’objet d'une violation (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) et si l’incident constitue un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNILLa notification doit être transmise à la CNIL dans les meilleurs délais (72h) à la suite de la constatation d’une violation présentant un risque pour les droits et libertés des personnes.

En cas de risque élevé, vous devez également notifier les personnes concernées.

En cas de doute, notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes.

Infos : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Si l’incident est d’origine malveillante, il est recommandé de : 

  • Effectuer un dépôt de plainte auprès de la gendarmerie ou de la police (dans les 72h). 
  • Recueillir toutes les traces possibles et lister les actions techniques et fonctionnelles mises en œuvre sur le SI. 

Pour vous aider, l’ARS et le GCS e-santé Pays de la Loire, en partenariat avec la Gendarmerie mettent à votre disposition 2 fiches mémo :

Les données à caractère personnel qui sont recueillies en vue du traitement des signalements reçus sont conservées pendant la durée nécessaire à la gestion du signalement.

Les destinataires de ces signalements sont :

  • le CERT-Santé (Service d’appui à la gestion des cybermenaces de l’Agence du Numérique en santé) ;
  • le personnel de l’ARS Pays de la Loire du service en charge du numérique ;
  • le pôle Sécurité et conformité numérique du GCS e-santé Pays de la Loire.

Le droit d’opposition ne s’applique pas. Conformément à la loi informatique et liberté n° 78-17 du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès, de rectification ou de suppression des données qui vous concernent. Vous pouvez exercer ce droit en vous adressant à l’ARS Pays de la Loire, 17, Boulevard Gaston Doumergue - CS 56233 - 44262 NANTES cedex 2.