Publicité en cours de chargement...
Le signalement des incidents de sécurité
En substance, le décret stipule qu’il faut déclarer les incidents graves, et classe dans cette catégorie :
- les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
- les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
- les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.
Le décret stipule aussi que tout incident SI d’un établissement de santé qui peut potentiellement toucher les établissements voisins (on pense évidemment à un malware) ou l’organisation territoriale doit également être signalé. En d’autres termes, même si un virus n’a infecté que quelques machines, il faut le signaler. Le décret stipule en outre que la déclaration doit être réalisée auprès de l’ARS, qui effectuera une qualification des incidents, et décrit précisément la chaîne de remontée depuis l’ARS jusqu’au FSSI.
À la première lecture, on reste un peu dubitatif. Par définition, dans un établissement de soins, presque tous les incidents SI ont « des conséquences sur la sécurité des soins », si l’on excepte la panne de la paye (et encore…), celle du logiciel de demande de changement d’ampoule grillée et le menu de la cantine affiché sur l’Intranet. Alors quoi, faut-il envoyer à l’ARS tous les incidents Nagios, soit plusieurs milliers par jour dans un CHU, allant du Tablespace Full à une adresse IP qui ne pingue plus ? Bon courage à celui qui devra faire le tri.
Mais, en fait, ce décret est une bonne chose, certainement une des meilleures qui soit jamais arrivée à la sécurité des SI. Christian Morel, dont je suis fan, décrit parfaitement dans son ouvrage phare[3] le bon qualitatif impressionnant gagné par l’aviation dès lors que le signalement des incidents a été obligatoire. Nous savons tous que la protection des opérateurs dans des environnements soumis à des rayonnements ionisants a été grandement amélioré, non seulement quand des systèmes de dosimétrie et de radioprotection ont été mis en place, mais en sus quand le signalement des accidents de surexposition a été rendu obligatoire par la médecine du travail.
Ce n’est pas faire du militantisme primaire que de constater que les organisations, publiques ou privées, ont une fâcheuse tendance à mettre la poussière sous le tapis. En témoigne l’affaire Enron, pour laquelle, si les dysfonctionnements avaient été rendus publics, on n’en serait pas arrivé là, à savoir le licenciement de milliers de personnes. Alors oui, ce décret est une bonne chose, et il vient d’ailleurs compléter l’annexe 3 de la PSSI du ministère de la Santé, qui dit en substance à peu près la même chose.
Rien n’est parfait en ce bas monde, et il va falloir bien entendu ajuster la granularité des incidents faisant l’objet d’une déclaration, rédiger les modèles de fiches d’incident, muscler toute la chaîne de remontée des incidents, tant par la désignation de RSSI locaux que par celle de référents sécurité dans les ARS qui n’en ont pas toutes, etc. Et il ne faudrait pas non plus oublier que Christian Morel précise que l’aviation n’a pas fait que rendre la déclaration des incidents obligatoires : elle les a dépénalisés. Sans quoi les RSSI locaux seront pris entre le marteau et l’enclume.
[1] https://www.legifrance.gouv.fr/eli/decret/2016/9/12/2016-1214/jo/texte
[3] Les Décisions absurdes, Gallimard, deux tomes.
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.