Publicité en cours de chargement...
SI : de nouvelles règles de sécurité pour les produits de santé
Au total, 20 règles ont été récemment détaillées dans un arrêté par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) (1). L’opérateur d’importance vitale doit élaborer, tenir à jour et mettre en œuvre une politique de sécurité des systèmes d’information reposant sur des procédures d’homologation de sécurité, un audit de la sécurité, le maintien en conditions de sécurité des ressources, le traitement des incidents et la gestion de crises en cas d’attaques informatiques.
Homologation de sécurité et éléments de cartographie
Dans le cadre de l’homologation de sécurité, un audit de la sécurité du SI devra être réalisé. Il comportera notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié. L’homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. On devra également fournir à l’Anssi des éléments de cartographie tels que les noms et les fonctions des applications, la description fonctionnelle et les lieux d’installation du SI et de ses différents sous-réseaux, la description fonctionnelle des points d’interconnexion du SI et de ses différents sous-réseaux avec des réseaux tiers ainsi que l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais Internet et d’accès distant mis en œuvre par le SI.
Le maintien en conditions de sécurité et la journalisation Il importe de se tenir informé des vulnérabilités et des mesures correctrices de sécurité propres aux ressources matérielles et logicielles en installant et en maintenant toutes les ressources matérielles et logicielles de ses SI dans des versions supportées par les fournisseurs ou les fabricants. Il faut prévoir un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SI ainsi qu’à son fonctionnement. Ce système de journalisation doit porter sur les serveurs applicatifs supportant les activités d’importance vitale, les serveurs d’infrastructure système, les serveurs d’infrastructure réseau, les équipements de sécurité, les postes d’ingénierie et de maintenance des systèmes industriels et les équipements réseau. Les événements enregistrés par le système de journalisation seront horodatés au moyen de sources de temps synchronisées et devront être centralisés et archivés pendant une durée d’au moins six mois.
La gestion de crise et les indicateurs
La procédure de gestion de crises en cas d’attaques informatiques majeures devra décrire les moyens techniques et organisationnels dont on dispose pour appliquer une configuration système afin d’éviter les attaques ou d’en limiter les effets. Il faudra ensuite mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Enfin, trois familles d’indicateurs seront établies pour chaque système d’information : des indicateurs relatifs au maintien en conditions de sécurité des ressources, des indicateurs relatifs aux droits d’accès des utilisateurs et à l’authentification des accès aux ressources et des indicateurs relatifs à l’administration des ressources.
(1) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé ». JORF du 23 juin 2016.
Avez-vous apprécié ce contenu ?
A lire également.
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...
La cyber et les sacs de luxe
30 juin 2025 - 20:44,
Tribune
-C’est la fin du premier semestre, il est temps de faire un bilan à mi-course de l’année 2025. Et il s’en est passé, des choses, pas forcément douces et roses.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...