Ceci est un test

Directions.fr : Le site des directeurs et cadres du secteur social et médico social

Administratif et juridique
SI : comment signaler un incident de sécurité ?

03/03/2021

En place dans le secteur sanitaire depuis 2017, le dispositif de déclaration des incidents de sécurité des systèmes d’information (SI) est désormais étendu aux établissements médico-sociaux.

Actes de cybermalveillance, fuites de données, pannes d’électricité… Les incidents graves ou significatifs liés à la sécurité informatique d’une structure doivent être immédiatement déclarés. C’est ce que prévoit une ordonnance [1] élargissant au secteur médico-social un dispositif jusqu’ici uniquement obligatoire pour les structures sanitaires. Son décret d’application est attendu « pour le 1er semestre 2021 », précise la Direction générale de la santé (DGS). Cependant, la mise en œuvre de la démarche ne devrait pas faire l’objet d’évolutions majeures.

Que faut-il déclarer ?

Les établissements doivent donc déclarer, via le portail dédié [2], tout incident portant atteinte à leur fonctionnement normal ou ayant des conséquences (potentielles ou avérées) sur la sécurité des soins, sur la confidentialité ou encore sur l'intégrité des données de santé [3]. Mais « les responsables doivent également signaler certaines actions malveillantes qui n’ont pas d’impact sur l’activité de la structure, telles qu’un afflux de Spam, car celles-ci peuvent être annonciatrices d’une attaque plus importante », observe Emmanuel Sohier, responsable de la cellule d'accompagnement à la cybersécurité des structures de santé (ACSS) de l’Agence du numérique en santé (ANS).

« Pour savoir s’il est nécessaire de signaler, il faut effectuer une analyse concrète de la situation, explique Pierre Desmarais, avocat spécialisé en droit de l’informatique, de la santé et de la protection sociale. On ne peut pas raisonner par type d’incident car leurs conséquences seront différentes pour chaque structure. Dans tous les cas, il vaut mieux se faire l’avocat du diable et déclarer l’incident. »

À noter. L’ANS propose sur son site une foire aux questions pour évaluer la gravité de l’incident et l'ACSS a mis en place un portail d'accompagnement cybersécurité des structures de santé [4].

Désigner un salarié référent

Pour se préparer à la mise en place de ce nouveau dispositif, la Direction générale de la santé recommande aux établissements d’« identifier en interne un circuit de remontée des incidents et d’établir la procédure de signalement ». Une personne chargée de remplir le formulaire de déclaration, décrivant l’incident et ses impacts, devra notamment être désignée. « Le plus simple est de choisir la personne qui effectue déjà les notifications des violations de données à la Commission nationale de l'informatique et des libertés (Cnil) », conseille Pierre Desmarais. Ainsi, cela peut être le délégué à la protection des données (DPO), le responsable de la sécurité des systèmes d'information (RSSI) ou encore le directeur informatique. « Dans tous les cas, la personne doit avoir des compétences en informatique et être capable de donner des informations techniques », insiste Emmanuel Sohier.

Une fois le signalement effectué, la cellule ACSS qualifie l’incident et accompagne les structures qui le souhaitent dans sa résolution. « Nous prenons alors contact avec le déclarant dans les meilleurs délais, autrement dit la plupart du temps dans la journée, souligne Emmanuel Sohier. Le service n’est cependant ouvert que 5 jours sur 7, de 9 heures à 18 heures. »

À noter. En cas d’extrême urgence, les établissements peuvent s’adresser à l’Agence nationale de la sécurité des systèmes d'information (ANSSI) qui dispose d’un service ouvert 7 jours sur 7 et 24 heures sur 24.

En attendant l’intervention de la cellule ACSS, la structure peut se référer aux « fiches réflexes » présentées sur le site de l’ANS, qui détaillent les mesures à mettre en place pour certains types d’incidents : maliciel, hameçonnage, déni de service, panne électrique… (lire l’encadré). Des fiches de prévention sont également proposées.

[1] Ordonnance n° 2020-1407 du 18 novembre 2020

[2] Portail de signalement des événements sanitaires indésirables : signalement.social-sante.gouv.fr

[3] Décret n° 2016-1214 du 12 septembre 2016

[4] www.cyberveille-sante.gouv.fr

Élise Brissaud

Réagir au plus vite à une cyberattaque

En cas d’acte de cybermalveillance, plusieurs principes essentiels doivent être observés. Tout d’abord, si une rançon est demandée, elle ne doit pas être payée. Par ailleurs, les machines du réseau doivent être déconnectées d’Internet ainsi que les sauvegardes. Les machines ne doivent cependant jamais être éteintes ni les sauvegardes restaurées avant d’avoir vérifié leur intégrité, afin de « conserver les preuves de l’attaque pour une investigation future », relève Emmanuel Sohier, responsable de la cellule ACSS à l’ANS. L’incident doit ensuite être déclaré sur le portail de signalement et une plainte déposée auprès des services de police ou de gendarmerie. Pierre Desmarais, avocat spécialisé en droit de l’informatique, recommande enfin de contacter son assurance : « Certaines polices peuvent accompagner les établissements sur les aspects juridique, médiatique et politique. »

Publié dans le magazine Direction[s] N° 195 - mars 2021






Ajouter un commentaire
La possibilité de réagir à un article de Direction[s] est réservé aux abonnés  du magazine Direction[s]
Envoyer cette actualité par email :
Email de l'expéditeur (vous)*

Email du destinataire *

Sujet*

Commentaire :

* Champs obligatoires

Le Magazine

N° 235 - novembre 2024
Fundraising. Une course de fonds
Voir le sommaire

Formation Direction[s]
Offres d'emploi
Les 5 dernières annonces publiées
Conseil Départemental de la Seine Saint Denis

DIRECTEUR·RICE GÉNÉRAL·E DU CDEF 93

Conseil Départemental de la Seine Saint Denis

MEDECIN REFERENT MALADIES INFECTIEUSES

UDAF DE LA MARNE

DIRECTEUR DE POLE (H/F)

Le Département de la Manche

Responsable du territoire de solidarité Coutançais (f/h)

Département du Val-de-Marne

GESTIONNAIRE COMPTABLE (H/F)


Voir toutes les offres
Agenda
25 au 27 novembre 2024, à Paris-La Défense et en ligne

JASFFG 2024

26 et 27 novembre 2024, à Poitiers

Intergénération & transmission

26 et 27 novembre 2024, à Paris

Journées internationales de la qualité hospitalière et en santé 2024

27 novembre 2024, à Paris

Rencontres de la justice des mineurs

27 novembre 2024, à Hérouville-Saint-Clair

Les violences sexuelles faites aux enfants : de la dénonciation à la reconstruction


Voir tous les évènements
Trophée Direction[s] : l'essentiel

Logo Trophée 2

Participez au Trophée Direction[s] 2024 !!

Sous les hauts patronages de :

Paul Christophe, ministre des Solidarités, de l’Autonomie et de l’Égalité entre les femmes et les hommes


Charlotte Parmentier-Lecocq, ministre déléguée chargée des Personnes en situation de handicap

En partenariat avec :

Logo Axiome