Le signalement des incidents de sécurité

En substance, le décret stipule qu’il faut déclarer les incidents graves, et classe dans cette catégorie :

• les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
• les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
•  les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.

Le décret stipule aussi que tout incident SI d’un établissement de santé qui peut potentiellement toucher les établissements voisins (on pense évidemment à un malware) ou l’organisation territoriale doit également être signalé. En d’autres termes, même si un virus n’a infecté que quelques machines, il faut le signaler. Le décret stipule en outre que la déclaration doit être réalisée auprès de l’ARS, qui effectuera une qualification des incidents, et décrit précisément la chaîne de remontée depuis l’ARS jusqu’au FSSI.

À la première lecture, on reste un peu dubitatif. Par définition, dans un établissement de soins, presque tous les incidents SI ont « des conséquences sur la sécurité des soins », si l’on excepte la panne de la paye (et encore…), celle du logiciel de demande de changement d’ampoule grillée et le menu de la cantine affiché sur l’Intranet. Alors quoi, faut-il envoyer à l’ARS tous les incidents Nagios, soit plusieurs milliers par jour dans un CHU, allant du Tablespace Full à une adresse IP qui ne pingue plus ? Bon courage à celui qui devra faire le tri.

Mais, en fait, ce décret est une bonne chose, certainement une des meilleures qui soit jamais arrivée à la sécurité des SI. Christian Morel, dont je suis fan, décrit parfaitement dans son ouvrage phare[3] le bon qualitatif impressionnant gagné par l’aviation dès lors que le signalement des incidents a été obligatoire. Nous savons tous que la protection des opérateurs dans des environnements soumis à des rayonnements ionisants a été grandement amélioré, non seulement quand des systèmes de dosimétrie et de radioprotection ont été mis en place, mais en sus quand le signalement des accidents de surexposition a été rendu obligatoire par la médecine du travail.

Ce n’est pas faire du militantisme primaire que de constater que les organisations, publiques ou privées, ont une fâcheuse tendance à mettre la poussière sous le tapis. En témoigne l’affaire Enron, pour laquelle, si les dysfonctionnements avaient été rendus publics, on n’en serait pas arrivé là, à savoir le licenciement de milliers de personnes. Alors oui, ce décret est une bonne chose, et il vient d’ailleurs compléter l’annexe 3 de la PSSI du ministère de la Santé, qui dit en substance à peu près la même chose.

Rien n’est parfait en ce bas monde, et il va falloir bien entendu ajuster la granularité des incidents faisant l’objet d’une déclaration, rédiger les modèles de fiches d’incident, muscler toute la chaîne de remontée des incidents, tant par la désignation de RSSI locaux que par celle de référents sécurité dans les ARS qui n’en ont pas toutes, etc. Et il ne faudrait pas non plus oublier que Christian Morel précise que l’aviation n’a pas fait que rendre la déclaration des incidents obligatoires : elle les a dépénalisés. Sans quoi les RSSI locaux seront pris entre le marteau et l’enclume.

[1] https://www.legifrance.gouv.fr/eli/decret/2016/9/12/2016-1214/jo/texte 

[2] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000031921128&dateTexte=29990101&categorieLien=cid 

[3]   Les Décisions absurdes, Gallimard, deux tomes.