Publicité en cours de chargement...
Déclaration des incidents de sécurité SI : démarrage en octobre !
En janvier 2016, l’article 110 de la loi de modernisation de notre système de santé imposait enfin l’obligation pour les établissements de santé de déclarer les incidents graves de sécurité des systèmes d’information.
#FINIDECACHERLAPOUSSIERESOUSLETAPIS
Depuis nous attendons officiellement les modalités de signalement de ces incidents qui doivent remonter aux ARS1, comme le précise le texte.
Lors d’un atelier dédié à ce sujet, qui s’est déroulé dans le cadre du dernier salon HIT, Philippe Loudenot (FSSI2 pour les MCAS3) et Emmanuel Sohier (Expert SSI4 à l’ASIP Santé) ont précisé le processus de déclaration qui sera mis en place au 1er Octobre 2017.
Comme pour les incidents sanitaires indésirables, les déclarations devront se faire en ligne sur le portail https://signalement.social-sante.gouv.fr. Un formulaire très succinct permettra à tous, y compris les DG de petites structures ne disposant pas de RSSI ou de DSI, de déclarer les incidents de sécurité dont ils sont victimes. Après validation du contenu par le déclarant et envoi. Celui-ci, sera notifié de l’enregistrement de sa déclaration qui sera transmise à l’ARS concernée et traitée par l’ASIP Santé en charge de ce dossier.
Comme l’a précisé Emmanuel Sohier, ce portail aura pour vocation, en plus de traiter les incidents, d’alerter, mais aussi de dispenser les bonnes pratiques au travers de différents guides. Le portail devrait également permettre de faire de la veille, d’échanger et d’émettre des bulletins d’alertes (comme essaye déjà de le faire un certain forum… ;-))
Philippe Loudenot a rappelé l’importance de porter plainte en cas d’incident « cyber », notamment pour éviter à l’établissement victime, d’assumer la responsabilité en cas d’utilisation du SI corrompu pour effectuer de nouvelles actions malveillantes par exemple. Des fiches de signalement seront mises à disposition pour accompagner les établissements dans ces démarches avec le soutien d’un bureau d’analyse et d’appui qui jouera également un rôle de conseil auprès des victimes.
Notre FSSI, extrêmement apprécié par l’ensemble de la communauté des RSSI santé, souhaite également que soit mise en place dans chaque établissement une adresse de messagerie fonctionnelle SSI, permettant d’alerter DG, DSI et RSSI en cas de menace « cyber » et que chaque acteur puisse réagir au plus vite.
En ce qui concerne la qualification des incidents « graves » de sécurité des SI, Philippe Loudenot et Frédérique Pothier (Chargée de mission à la DSSIS5) apporte des précisions dans une récente interview accordée à l’APSSIS. Parmi ces incidents, il nous sera également possible de faire remonter les vulnérabilités contenues dans nos différents applicatifs métiers, ainsi que les mauvaises pratiques de certains éditeurs ou prestataires.
L’ASIP Santé pourra ainsi leur « tirer les oreilles » et leur imposer des choses que nous, établissements, ne pouvons pas leur imposer. J’imagine que comme moi, vous avez déjà pas mal de « oups » ou de « RRRRR » de côté à faire remonter et que vous vous réjouissez déjà de voir les oreilles de certains éditeurs aussi rouges que celles de nos excellents joueurs auvergnats (vainqueurs du bouclier de Brennus le week-end dernier) en fin de match !
(1) ARS : Agence régionale de santé
(2) FSSI : Fonctionnaire de sécurité des systèmes d’information
(3) MCAS : Ministères en charge des affaires sociales
(4) SSI : Sécurité des systèmes d’information
(5) DSSIS : Délégation à la stratégie des systèmes d’information de santé
Avez-vous apprécié ce contenu ?
A lire également.

IA et santé : cap sur une cybersécurité consolidée et proactive
18 juin 2025 - 10:57,
Communiqué
- Trend MicroLe secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics
16 juin 2025 - 22:18,
Actualité
- Damien Dubois, DSIHLe 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Et c’est l’heure de notre quiz annuel
16 juin 2025 - 22:10,
Tribune
-Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...