Publicité en cours de chargement...
SI : de nouvelles règles de sécurité pour les produits de santé
Au total, 20 règles ont été récemment détaillées dans un arrêté par le secrétariat général de la Défense et de la Sécurité nationale (SGDSN) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) (1). L’opérateur d’importance vitale doit élaborer, tenir à jour et mettre en œuvre une politique de sécurité des systèmes d’information reposant sur des procédures d’homologation de sécurité, un audit de la sécurité, le maintien en conditions de sécurité des ressources, le traitement des incidents et la gestion de crises en cas d’attaques informatiques.
Homologation de sécurité et éléments de cartographie
Dans le cadre de l’homologation de sécurité, un audit de la sécurité du SI devra être réalisé. Il comportera notamment la réalisation d’un audit d’architecture, d’un audit de configuration et d’un audit organisationnel et physique. L’opérateur peut réaliser lui-même l’audit ou recourir à un prestataire qualifié. L’homologation est valable pour une durée maximale de trois ans et est renouvelée au terme de cette période. On devra également fournir à l’Anssi des éléments de cartographie tels que les noms et les fonctions des applications, la description fonctionnelle et les lieux d’installation du SI et de ses différents sous-réseaux, la description fonctionnelle des points d’interconnexion du SI et de ses différents sous-réseaux avec des réseaux tiers ainsi que l’inventaire, l’architecture et le positionnement des services de résolution de noms d’hôte, de messagerie, de relais Internet et d’accès distant mis en œuvre par le SI.
Le maintien en conditions de sécurité et la journalisation Il importe de se tenir informé des vulnérabilités et des mesures correctrices de sécurité propres aux ressources matérielles et logicielles en installant et en maintenant toutes les ressources matérielles et logicielles de ses SI dans des versions supportées par les fournisseurs ou les fabricants. Il faut prévoir un système de journalisation qui enregistre les événements relatifs à l’authentification des utilisateurs, à la gestion des comptes et des droits d’accès, à l’accès aux ressources, aux modifications des règles de sécurité du SI ainsi qu’à son fonctionnement. Ce système de journalisation doit porter sur les serveurs applicatifs supportant les activités d’importance vitale, les serveurs d’infrastructure système, les serveurs d’infrastructure réseau, les équipements de sécurité, les postes d’ingénierie et de maintenance des systèmes industriels et les équipements réseau. Les événements enregistrés par le système de journalisation seront horodatés au moyen de sources de temps synchronisées et devront être centralisés et archivés pendant une durée d’au moins six mois.
La gestion de crise et les indicateurs
La procédure de gestion de crises en cas d’attaques informatiques majeures devra décrire les moyens techniques et organisationnels dont on dispose pour appliquer une configuration système afin d’éviter les attaques ou d’en limiter les effets. Il faudra ensuite mettre en place des règles de filtrage sur les réseaux ou des configurations particulières sur les équipements terminaux. Enfin, trois familles d’indicateurs seront établies pour chaque système d’information : des indicateurs relatifs au maintien en conditions de sécurité des ressources, des indicateurs relatifs aux droits d’accès des utilisateurs et à l’authentification des accès aux ressources et des indicateurs relatifs à l’administration des ressources.
(1) Arrêté du 10 juin 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Produits de santé ». JORF du 23 juin 2016.
Avez-vous apprécié ce contenu ?
A lire également.

En direct du congrès APSSIS 2025 –– conférence sur l’histoire des malwares
24 juin 2025 - 18:00,
Tribune
-Temps fort traditionnel, Michel Dubois nous a habitués à des conférences techniques sur des sujets pointus, telle l’histoire du chiffrement. Nous voilà donc embarqués dans l’histoire des malwares, et on part de loin : machine de Turing, théorie de l’informatique de la fin de la Seconde Guerre mondia...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...