Publicité en cours de chargement...
Le signalement des incidents de sécurité
En substance, le décret stipule qu’il faut déclarer les incidents graves, et classe dans cette catégorie :
- les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
- les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
- les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service.
Le décret stipule aussi que tout incident SI d’un établissement de santé qui peut potentiellement toucher les établissements voisins (on pense évidemment à un malware) ou l’organisation territoriale doit également être signalé. En d’autres termes, même si un virus n’a infecté que quelques machines, il faut le signaler. Le décret stipule en outre que la déclaration doit être réalisée auprès de l’ARS, qui effectuera une qualification des incidents, et décrit précisément la chaîne de remontée depuis l’ARS jusqu’au FSSI.
À la première lecture, on reste un peu dubitatif. Par définition, dans un établissement de soins, presque tous les incidents SI ont « des conséquences sur la sécurité des soins », si l’on excepte la panne de la paye (et encore…), celle du logiciel de demande de changement d’ampoule grillée et le menu de la cantine affiché sur l’Intranet. Alors quoi, faut-il envoyer à l’ARS tous les incidents Nagios, soit plusieurs milliers par jour dans un CHU, allant du Tablespace Full à une adresse IP qui ne pingue plus ? Bon courage à celui qui devra faire le tri.
Mais, en fait, ce décret est une bonne chose, certainement une des meilleures qui soit jamais arrivée à la sécurité des SI. Christian Morel, dont je suis fan, décrit parfaitement dans son ouvrage phare[3] le bon qualitatif impressionnant gagné par l’aviation dès lors que le signalement des incidents a été obligatoire. Nous savons tous que la protection des opérateurs dans des environnements soumis à des rayonnements ionisants a été grandement amélioré, non seulement quand des systèmes de dosimétrie et de radioprotection ont été mis en place, mais en sus quand le signalement des accidents de surexposition a été rendu obligatoire par la médecine du travail.
Ce n’est pas faire du militantisme primaire que de constater que les organisations, publiques ou privées, ont une fâcheuse tendance à mettre la poussière sous le tapis. En témoigne l’affaire Enron, pour laquelle, si les dysfonctionnements avaient été rendus publics, on n’en serait pas arrivé là, à savoir le licenciement de milliers de personnes. Alors oui, ce décret est une bonne chose, et il vient d’ailleurs compléter l’annexe 3 de la PSSI du ministère de la Santé, qui dit en substance à peu près la même chose.
Rien n’est parfait en ce bas monde, et il va falloir bien entendu ajuster la granularité des incidents faisant l’objet d’une déclaration, rédiger les modèles de fiches d’incident, muscler toute la chaîne de remontée des incidents, tant par la désignation de RSSI locaux que par celle de référents sécurité dans les ARS qui n’en ont pas toutes, etc. Et il ne faudrait pas non plus oublier que Christian Morel précise que l’aviation n’a pas fait que rendre la déclaration des incidents obligatoires : elle les a dépénalisés. Sans quoi les RSSI locaux seront pris entre le marteau et l’enclume.
[1] https://www.legifrance.gouv.fr/eli/decret/2016/9/12/2016-1214/jo/texte
[3] Les Décisions absurdes, Gallimard, deux tomes.
Avez-vous apprécié ce contenu ?
A lire également.

Mais non, la 27001 n’est pas lourdingue !
06 oct. 2025 - 22:14,
Tribune
-Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé
02 oct. 2025 - 10:31,
Communiqué
- La Poste Santé & AutonomieRendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...