Déclaration des incidents de sécurité SI : démarrage en octobre !

En janvier 2016, l’article 110 de la loi de modernisation de notre système de santé imposait enfin l’obligation pour les établissements de santé de déclarer les incidents graves de sécurité des systèmes d’information.

#FINIDECACHERLAPOUSSIERESOUSLETAPIS

Depuis nous attendons officiellement les modalités de signalement de ces incidents qui doivent remonter aux ARS¹, comme le précise le texte. 

Lors d’un atelier dédié à ce sujet, qui s’est déroulé dans le cadre du dernier salon HIT, Philippe Loudenot (FSSI² pour les MCAS³) et Emmanuel Sohier (Expert SSI⁴ à l’ASIP Santé) ont précisé le processus de déclaration qui sera mis en place au 1^er Octobre 2017.

Comme pour les incidents sanitaires indésirables, les déclarations devront se faire en ligne sur le portail https://signalement.social-sante.gouv.fr. Un formulaire très succinct permettra à tous, y compris les DG de petites structures ne disposant pas de RSSI ou de DSI, de déclarer les incidents de sécurité dont ils sont victimes. Après validation du contenu par le déclarant et envoi. Celui-ci, sera notifié de l’enregistrement de sa déclaration qui sera transmise à l’ARS concernée et traitée par l’ASIP Santé en charge de ce dossier. 

Comme l’a précisé Emmanuel Sohier, ce portail aura pour vocation, en plus de traiter les incidents, d’alerter, mais aussi de dispenser les bonnes pratiques au travers de différents guides. Le portail devrait également permettre de faire de la veille, d’échanger et d’émettre des bulletins d’alertes (comme essaye déjà de le faire un certain forum… ;-))

Philippe Loudenot a rappelé l’importance de porter plainte en cas d’incident « cyber », notamment pour éviter à l’établissement victime, d’assumer la responsabilité en cas d’utilisation du SI corrompu pour effectuer de nouvelles actions malveillantes par exemple. Des fiches de signalement seront mises à disposition pour accompagner les établissements dans ces démarches avec le soutien d’un bureau d’analyse et d’appui qui jouera également un rôle de conseil auprès des victimes. 

Notre FSSI, extrêmement apprécié par l’ensemble de la communauté des RSSI santé, souhaite également que soit mise en place dans chaque établissement une adresse de messagerie fonctionnelle SSI, permettant d’alerter DG, DSI et RSSI en cas de menace « cyber » et que chaque acteur puisse réagir au plus vite.

En ce qui concerne la qualification des incidents « graves » de sécurité des SI, Philippe Loudenot et Frédérique Pothier (Chargée de mission à la DSSIS⁵) apporte des précisions dans une récente interview accordée à l’APSSIS. Parmi ces incidents, il nous sera également possible de faire remonter les vulnérabilités contenues dans nos différents applicatifs métiers, ainsi que les mauvaises pratiques de certains éditeurs ou prestataires.

L’ASIP Santé pourra ainsi leur « tirer les oreilles » et leur imposer des choses que nous, établissements, ne pouvons pas leur imposer. J’imagine que comme moi, vous avez déjà pas mal de « oups » ou de « RRRRR » de côté à faire remonter et que vous vous réjouissez déjà de voir les oreilles de certains éditeurs aussi rouges que celles de nos excellents joueurs auvergnats (vainqueurs du bouclier de Brennus le week-end dernier) en fin de match !

(1) ARS : Agence régionale de santé

(2) FSSI : Fonctionnaire de sécurité des systèmes d’information

(3) MCAS : Ministères en charge des affaires sociales

(4) SSI : Sécurité des systèmes d’information

(5) DSSIS : Délégation à la stratégie des systèmes d’information de santé