Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

SI : de nouvelles règles de sécurité pour les produits de santé

11 août 2016 - 13:07,
Actualité - DSIH, Bernard B
Depuis le 1er juillet, les opérateurs d’importance vitale (OIV) doivent respecter de nouvelles règles de sécurité pour protéger leurs systèmes d’information. Les principales dispositions organisationnelles et techniques en vigueur.

Au total, 20 règles ont été récemment détaillées dans un arrêté par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) (1). L’opérateur d’importance vitale doit élaborer, tenir à jour et mettre en œuvre une politique de sécurité des systèmes d’information reposant sur des procédures d’homologation de sécurité, un audit de la sécurité, le maintien en conditions de sécurité des ressources, le traitement des incidents et la gestion de crises en cas d’attaques informatiques.

Homologation de sécurité et éléments de cartographie

Dans le cadre de l’homologation de sécurité, un audit de la sécurité du SI devra être réalisé. Il comportera notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié. L’homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. On devra également fournir à l’Anssi des éléments de cartographie tels que les noms et les fonctions des applications, la description fonctionnelle et les lieux d’installation du SI et de ses différents sous-réseaux, la description fonctionnelle des points d’interconnexion du SI et de ses différents sous-réseaux avec des réseaux tiers ainsi que l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais Internet et d’accès distant mis en œuvre par le SI.

Le maintien en conditions de sécurité et la journalisation Il importe de se tenir informé des vulnérabilités et des mesures correctrices de sécurité propres aux ressources matérielles et logicielles en installant et en maintenant toutes les ressources matérielles et logicielles de ses SI dans des versions supportées par les fournisseurs ou les fabricants. Il faut prévoir un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SI ainsi qu’à son fonctionnement. Ce système de journalisation doit porter sur les serveurs applicatifs supportant les activités d’importance vitale, les serveurs d’infrastructure système, les serveurs d’infrastructure réseau, les équipements de sécurité, les postes d’ingénierie et de maintenance des systèmes industriels et les équipements réseau. Les événements enregistrés par le système de journalisation seront horodatés au moyen de sources de temps synchronisées et devront être centralisés et archivés pendant une durée d’au moins six mois.

La gestion de crise et les indicateurs

La procédure de gestion de crises en cas d’attaques informatiques majeures devra décrire les moyens techniques et organisationnels dont on dispose pour appliquer une configuration système afin d’éviter les attaques ou d’en limiter les effets. Il faudra ensuite mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Enfin, trois familles d’indicateurs seront établies pour chaque système d’information : des indicateurs relatifs au maintien en conditions de sécurité des ressources, des indicateurs relatifs aux droits d’accès des utilisateurs et à l’authentification des accès aux ressources et des indicateurs relatifs à l’administration des ressources.

(1) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé ». JORF du 23 juin 2016.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.