Depuis le 1er octobre 2017 vous devez déclarer vos incidents de sécurité de systèmes d’information. Cette obligation est précisée dans l’art. 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016. Le décret d’application n°2016-1214 du 12 sept.2016 décrit quant à lui les conditions selon lesquelles vous devez signaler ces incidents graves de sécurité des systèmes d’information. L’article L 1111-8-2 du Code de la Santé Publique fixe à présent cette obligation.
Pour déclarer vos incidents de sécurité, vous devez vous rendre sur l’espace «professionnels de santé» du portail de signalement des évènements sanitaires indésirables et renseigner ensuite un formulaire spécifique : signalement.social-sante.gouv.fr

La vidéo ci-après vous explique comment faire :

Vous devez déclarer les incidents ayant des conséquences potentielles ou avérées :

• sur la sécurité des soins,
• sur le système d’information,
• sur la confidentialité ou l’intégrité des données de santé,
• sur le fonctionnement normal de votre établissement, votre organisme ou votre service.

Un portail de veille et d’échanges est disponible à l’adresse suivante : www.cyberveille-sante.gouv.fr

Si vous souhaitez en savoir plus ou si vous avez une question au sujet du dispositif :

Contacter la cellule ACSS : cyberveille@sante.gouv.fr
Contacter le FSSI : ssi@sg.social.gouv.fr

En interne

Alerter immédiatement votre service informatique et la Direction de votre établissement et informer l’établissement pilote en précisant les impacts sur la prise en charge des patients / usagers et les impacts techniques

 

Critère de sécurité

Indisponibilité

Une indisponibilité des systèmes peut entrainer une inaccessibilité aux informations nécessaires au processus métier ou une interruption d’activité.

Perte d’intégrité

Un défaut d’intégrité entraine une perte ou une modification de l’information traitée ou produite par le système qui trompe l’utilisateur et nuit au processus métier.

Perte de confidentialité

Des personnes non autorisées ont pu avoir accès à des informations confidentielles.

Critères pour signaler un incident de sécurité informatique ou lié aux nouvelles technologies

Doit être signalé :

• Toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données
• Une indisponibilité partielle ou totale de systèmes informatiques impactant les systèmes participant à la prise en charge d’un patient et/ou les systèmes contribuant au fonctionnement de la structure ;
• Un impact direct sur la prise en charge d’un patient ;
• Un impact sur l’intégrité ou la confidentialité des données de santé à caractère personnel ;
• Un impact réglementaire (par ex. impact sur les données personnelles d’employés de la structure) ;
• Une perte de confidentialité de données techniques sensibles (mots de passe, clés cryptographiques, documents d’architecture et de configuration, etc…)

Exemples / Situations

Indisponibilité

Les systèmes utilisés pour le SAMU ne fonctionnent plus à cause de la propagation d’un code malveillant.
Le site Web institutionnel ne fonctionne plus à cause d’une sur-utilisation malveillante du serveur hébergeant le site.
Une panne informatique rend indisponible les services d’imagerie ou de biologie.

Perte d’intégrité

Un logiciel d’aide à la prescription ou un logiciel de gestion de dossiers patient informatisé produit des informations erronées à cause d’une infection virale.

Des données à caractère personnel ne sont plus accessibles, sont supprimées ou modifiées à cause d’une action malveillante.

Perte de confidentialité

Des données concernant des patients ont été publiées sur Internet.