Actes de cybermalveillance, fuites de données, pannes d’électricité… Les incidents graves ou significatifs liés à la sécurité informatique d’une structure doivent être immédiatement déclarés. C’est ce que prévoit une ordonnance [1] élargissant au secteur médico-social un dispositif jusqu’ici uniquement obligatoire pour les structures sanitaires. Son décret d’application est attendu « pour le 1er semestre 2021 », précise la Direction générale de la santé (DGS). Cependant, la mise en œuvre de la démarche ne devrait pas faire l’objet d’évolutions majeures.
Que faut-il déclarer ?
Les établissements doivent donc déclarer, via le portail dédié [2], tout incident portant atteinte à leur fonctionnement normal ou ayant des conséquences (potentielles ou avérées) sur la sécurité des soins, sur la confidentialité ou encore sur l'intégrité des données de santé [3]. Mais « les responsables doivent également signaler certaines actions malveillantes qui n’ont pas d’impact sur l’activité de la structure, telles qu’un afflux de Spam, car celles-ci peuvent être annonciatrices d’une attaque plus importante », observe Emmanuel Sohier, responsable de la cellule d'accompagnement à la cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS).
« Pour savoir s’il est nécessaire de signaler, il faut effectuer une analyse concrète de la situation, explique Pierre Desmarais, avocat spécialisé en droit de l’informatique, de la santé et de la protection sociale. On ne peut pas raisonner par type d’incident car leurs conséquences seront différentes pour chaque structure. Dans tous les cas, il vaut mieux se faire l’avocat du diable et déclarer l’incident. »
À noter. L’ANS propose sur son site une foire aux questions pour évaluer la gravité de l’incident et l'ACSS a mis en place un portail d'accompagnement cybersécurité des structures de santé [4].
Désigner un salarié référent
Pour se préparer à la mise en place de ce nouveau dispositif, la Direction générale de la santé recommande aux établissements d’« identifier en interne un circuit de remontée des incidents et d’établir la procédure de signalement ». Une personne chargée de remplir le formulaire de déclaration, décrivant l’incident et ses impacts, devra notamment être désignée. « Le plus simple est de choisir la personne qui effectue déjà les notifications des violations de données à la Commission nationale de l'informatique et des libertés (Cnil) », conseille Pierre Desmarais. Ainsi, cela peut être le délégué à la protection des données (DPO), le responsable de la sécurité des systèmes d'information (RSSI) ou encore le directeur informatique. « Dans tous les cas, la personne doit avoir des compétences en informatique et être capable de donner des informations techniques », insiste Emmanuel Sohier.
Une fois le signalement effectué, la cellule ACSS qualifie l’incident et accompagne les structures qui le souhaitent dans sa résolution. « Nous prenons alors contact avec le déclarant dans les meilleurs délais, autrement dit la plupart du temps dans la journée, souligne Emmanuel Sohier. Le service n’est cependant ouvert que 5 jours sur 7, de 9 heures à 18 heures. »
À noter. En cas d’extrême urgence, les établissements peuvent s’adresser à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui dispose d’un service ouvert 7 jours sur 7 et 24 heures sur 24.
En attendant l’intervention de la cellule ACSS, la structure peut se référer aux « fiches réflexes » présentées sur le site de l’ANS, qui détaillent les mesures à mettre en place pour certains types d’incidents : maliciel, hameçonnage, déni de service, panne électrique… (lire l’encadré). Des fiches de prévention sont également proposées.
[1] Ordonnance n° 2020-1407 du 18 novembre 2020
[2] Portail de signalement des événements sanitaires indésirables : signalement.social-sante.gouv.fr
[3] Décret n° 2016-1214 du 12 septembre 2016
[4] www.cyberveille-sante.gouv.fr
Élise Brissaud
Réagir au plus vite à une cyberattaque
En cas d’acte de cybermalveillance, plusieurs principes essentiels doivent être observés. Tout d’abord, si une rançon est demandée, elle ne doit pas être payée. Par ailleurs, les machines du réseau doivent être déconnectées d’Internet ainsi que les sauvegardes. Les machines ne doivent cependant jamais être éteintes ni les sauvegardes restaurées avant d’avoir vérifié leur intégrité, afin de « conserver les preuves de l’attaque pour une investigation future », relève Emmanuel Sohier, responsable de la cellule ACSS à l’ANS. L’incident doit ensuite être déclaré sur le portail de signalement et une plainte déposée auprès des services de police ou de gendarmerie. Pierre Desmarais, avocat spécialisé en droit de l’informatique, recommande enfin de contacter son assurance : « Certaines polices peuvent accompagner les établissements sur les aspects juridique, médiatique et politique. »
Publié dans le magazine Direction[s] N° 195 - mars 2021