Publicité en cours de chargement...
SI : de nouvelles règles de sécurité pour les produits de santé
Au total, 20 règles ont été récemment détaillées dans un arrêté par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) (1). L’opérateur d’importance vitale doit élaborer, tenir à jour et mettre en œuvre une politique de sécurité des systèmes d’information reposant sur des procédures d’homologation de sécurité, un audit de la sécurité, le maintien en conditions de sécurité des ressources, le traitement des incidents et la gestion de crises en cas d’attaques informatiques.
Homologation de sécurité et éléments de cartographie
Dans le cadre de l’homologation de sécurité, un audit de la sécurité du SI devra être réalisé. Il comportera notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié. L’homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. On devra également fournir à l’Anssi des éléments de cartographie tels que les noms et les fonctions des applications, la description fonctionnelle et les lieux d’installation du SI et de ses différents sous-réseaux, la description fonctionnelle des points d’interconnexion du SI et de ses différents sous-réseaux avec des réseaux tiers ainsi que l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais Internet et d’accès distant mis en œuvre par le SI.
Le maintien en conditions de sécurité et la journalisation Il importe de se tenir informé des vulnérabilités et des mesures correctrices de sécurité propres aux ressources matérielles et logicielles en installant et en maintenant toutes les ressources matérielles et logicielles de ses SI dans des versions supportées par les fournisseurs ou les fabricants. Il faut prévoir un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SI ainsi qu’à son fonctionnement. Ce système de journalisation doit porter sur les serveurs applicatifs supportant les activités d’importance vitale, les serveurs d’infrastructure système, les serveurs d’infrastructure réseau, les équipements de sécurité, les postes d’ingénierie et de maintenance des systèmes industriels et les équipements réseau. Les événements enregistrés par le système de journalisation seront horodatés au moyen de sources de temps synchronisées et devront être centralisés et archivés pendant une durée d’au moins six mois.
La gestion de crise et les indicateurs
La procédure de gestion de crises en cas d’attaques informatiques majeures devra décrire les moyens techniques et organisationnels dont on dispose pour appliquer une configuration système afin d’éviter les attaques ou d’en limiter les effets. Il faudra ensuite mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Enfin, trois familles d’indicateurs seront établies pour chaque système d’information : des indicateurs relatifs au maintien en conditions de sécurité des ressources, des indicateurs relatifs aux droits d’accès des utilisateurs et à l’authentification des accès aux ressources et des indicateurs relatifs à l’administration des ressources.
(1) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé ». JORF du 23 juin 2016.
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.