Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Le signalement des incidents de sécurité

20 sept. 2016 - 10:25,
Tribune - Cédric Cartau
Le 12 septembre dernier est enfin sorti le décret[1] que tous les RSSI attendaient avec impatience, et qui contraint les organisations publiques ou privées à déclarer les incidents de sécurité. Dans les faits, ce décret vient préciser comme prévu l’article L. 1111-8-2[2] du Code de la santé publique.  

En substance, le décret stipule qu’il faut déclarer les incidents graves, et classe dans cette catégorie :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  •  les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.

Le décret stipule aussi que tout incident SI d’un établissement de santé qui peut potentiellement toucher les établissements voisins (on pense évidemment à un malware) ou l’organisation territoriale doit également être signalé. En d’autres termes, même si un virus n’a infecté que quelques machines, il faut le signaler. Le décret stipule en outre que la déclaration doit être réalisée auprès de l’ARS, qui effectuera une qualification des incidents, et décrit précisément la chaîne de remontée depuis l’ARS jusqu’au FSSI.

À la première lecture, on reste un peu dubitatif. Par définition, dans un établissement de soins, presque tous les incidents SI ont « des conséquences sur la sécurité des soins », si l’on excepte la panne de la paye (et encore…), celle du logiciel de demande de changement d’ampoule grillée et le menu de la cantine affiché sur l’Intranet. Alors quoi, faut-il envoyer à l’ARS tous les incidents Nagios, soit plusieurs milliers par jour dans un CHU, allant du Tablespace Full à une adresse IP qui ne pingue plus ? Bon courage à celui qui devra faire le tri.

Mais, en fait, ce décret est une bonne chose, certainement une des meilleures qui soit jamais arrivée à la sécurité des SI. Christian Morel, dont je suis fan, décrit parfaitement dans son ouvrage phare[3] le bon qualitatif impressionnant gagné par l’aviation dès lors que le signalement des incidents a été obligatoire. Nous savons tous que la protection des opérateurs dans des environnements soumis à des rayonnements ionisants a été grandement amélioré, non seulement quand des systèmes de dosimétrie et de radioprotection ont été mis en place, mais en sus quand le signalement des accidents de surexposition a été rendu obligatoire par la médecine du travail.

Ce n’est pas faire du militantisme primaire que de constater que les organisations, publiques ou privées, ont une fâcheuse tendance à mettre la poussière sous le tapis. En témoigne l’affaire Enron, pour laquelle, si les dysfonctionnements avaient été rendus publics, on n’en serait pas arrivé là, à savoir le licenciement de milliers de personnes. Alors oui, ce décret est une bonne chose, et il vient d’ailleurs compléter l’annexe 3 de la PSSI du ministère de la Santé, qui dit en substance à peu près la même chose.

Rien n’est parfait en ce bas monde, et il va falloir bien entendu ajuster la granularité des incidents faisant l’objet d’une déclaration, rédiger les modèles de fiches d’incident, muscler toute la chaîne de remontée des incidents, tant par la désignation de RSSI locaux que par celle de référents sécurité dans les ARS qui n’en ont pas toutes, etc. Et il ne faudrait pas non plus oublier que Christian Morel précise que l’aviation n’a pas fait que rendre la déclaration des incidents obligatoires : elle les a dépénalisés. Sans quoi les RSSI locaux seront pris entre le marteau et l’enclume.

[1] https://www.legifrance.gouv.fr/eli/decret/2016/9/12/2016-1214/jo/texte 

[2] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006072665&idArticle=LEGIARTI000031921128&dateTexte=29990101&categorieLien=cid 

 

[3]   Les Décisions absurdes, Gallimard, deux tomes.

 

 

 

 

 

 

 

 

 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.