Depuis le 1er octobre 2017 vous devez déclarer vos incidents de sécurité de systèmes d’information. Cette obligation est précisée dans l’art. 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016. Le décret d’application n°2016-1214 du 12 sept.2016 décrit quant à lui les conditions selon lesquelles vous devez signaler ces incidents graves de sécurité des systèmes d’information. L’article L 1111-8-2 du Code de la Santé Publique fixe à présent cette obligation.
Pour déclarer vos incidents de sécurité, vous devez vous rendre sur l’espace «professionnels de santé» du portail de signalement des évènements sanitaires indésirables et renseigner ensuite un formulaire spécifique : signalement.social-sante.gouv.fr
La vidéo ci-après vous explique comment faire :
Vous devez déclarer les incidents ayant des conséquences potentielles ou avérées :
- sur la sécurité des soins,
- sur le système d’information,
- sur la confidentialité ou l’intégrité des données de santé,
- sur le fonctionnement normal de votre établissement, votre organisme ou votre service.
Un portail de veille et d’échanges est disponible à l’adresse suivante : www.cyberveille-sante.gouv.fr
Si vous souhaitez en savoir plus ou si vous avez une question au sujet du dispositif :
Contacter la cellule ACSS : cyberveille@sante.gouv.fr
Contacter le FSSI : ssi@sg.social.gouv.fr
En interne
Alerter immédiatement votre service informatique et la Direction de votre établissement et informer l’établissement pilote en précisant les impacts sur la prise en charge des patients / usagers et les impacts techniques
Critère de sécurité
Indisponibilité
Une indisponibilité des systèmes peut entrainer une inaccessibilité aux informations nécessaires au processus métier ou une interruption d’activité.
Perte d’intégrité
Un défaut d’intégrité entraine une perte ou une modification de l’information traitée ou produite par le système qui trompe l’utilisateur et nuit au processus métier.
Perte de confidentialité
Des personnes non autorisées ont pu avoir accès à des informations confidentielles.
Critères pour signaler un incident de sécurité informatique ou lié aux nouvelles technologies
Doit être signalé :
- Toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données
- Une indisponibilité partielle ou totale de systèmes informatiques impactant les systèmes participant à la prise en charge d’un patient et/ou les systèmes contribuant au fonctionnement de la structure ;
- Un impact direct sur la prise en charge d’un patient ;
- Un impact sur l’intégrité ou la confidentialité des données de santé à caractère personnel ;
- Un impact réglementaire (par ex. impact sur les données personnelles d’employés de la structure) ;
- Une perte de confidentialité de données techniques sensibles (mots de passe, clés cryptographiques, documents d’architecture et de configuration, etc…)
Exemples / Situations
Indisponibilité
Les systèmes utilisés pour le SAMU ne fonctionnent plus à cause de la propagation d’un code malveillant.
Le site Web institutionnel ne fonctionne plus à cause d’une sur-utilisation malveillante du serveur hébergeant le site.
Une panne informatique rend indisponible les services d’imagerie ou de biologie.
Perte d’intégrité
Un logiciel d’aide à la prescription ou un logiciel de gestion de dossiers patient informatisé produit des informations erronées à cause d’une infection virale.
Des données à caractère personnel ne sont plus accessibles, sont supprimées ou modifiées à cause d’une action malveillante.
Perte de confidentialité
Des données concernant des patients ont été publiées sur Internet.