Scroll Top
Veille juridique
Partager l'article



*




etablissements sanitaires et médico-sociaux : rappel des obligations de signalement

Article rédigé par Alice Agard, Adriane Louyer, Laurence Huin

Instruction N°SHFDS/FSSI/2023/78 du 23 mai 2023 relative au traitement des incidents significatifs ou graves de sécurité des systèmes d’information (p. 178 et s.)

Dans une instruction publiée au Bulletin officiel « Santé – Protection sociale – Solidarité » du 31 mai 2023, le ministère de la Santé et de la Prévention rappelle la réglementation existante et ses dernières évolutions en matière de signalement d’incidents significatifs ou graves des systèmes d’information (SI) et clarifie les obligations qui s’imposent alors aux établissements sanitaires et établissements médico-sociaux.

A cet égard, il est possible de renvoyer aux articles publiés sur ce blog concernant les évolutions de l’obligation de notification des incidents significatifs ou graves des systèmes d’information (voir notamment Cybersécurité : panorama de l’actualité juridique – HOUDART & ASSOCIÉS).

Elargissement de l’obligation de signalement :

L’instruction rappelle que l’ordonnance n°2020-1407 du 18 novembre 2020 relative aux missions des ARS et le décret n°2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information ont élargi cette obligation de signalement aux établissements médico-sociaux. Elle précise que cette obligation « s’applique également aux incidents susceptibles de toucher d’autres établissements, organismes ou services », en cas d’attaque se propageant par rebond depuis l’établissement touché ou à la suite d’un incident provoqué par un sous-traitant victime d’une attaque et fournissant des services à plusieurs établissements.

Dispositif de signalement

Le CERT Santé porté par l’Agence du Numérique en Santé (ANS) est au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements lui remontent en effet directement via le Portail des signalements des événements sanitaires indésirables (PSIG).

Il doit informer sans délai tout signalement à l’ARS et au pôle fonctionnaire de sécurité des systèmes d’information du Service du haut fonctionnaire de défense et de sécurité (SHFDS) « que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ».

Les ARS resteront systématiquement informées des échanges entre le CERT Santé et les structures déclarantes, de sorte qu’elles pourront intervenir si besoin auprès des établissements en cas d’impact de l’incident sur l’offre de soins.

Si l’incident est susceptible d’avoir un impact sanitaire, le CERT Santé doit en outre remonter le signalement sans délai au Centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales (CORRUSS).

L’instruction précise les modalités de déclaration des incidents de sécurité des systèmes d’information La déclaration doit être effectuée sans délai auprès du CERT Santé et le formulaire de déclaration doit être renseigné sur le portail des signalements (Accueil – Portail de signalement des événements sanitaires indésirables (social-sante.gouv.fr)). Le déclarant doit alors fournir toutes les informations dont il dispose au moment de la découverte de l’incident. L’instruction détaille certaines informations devant alors être fournies.

Elle rappelle également le rôle dévolu au CERT Santé par le Code de la santé publique. Dès la réception du signalement, le CERT Santé assure un « travail de qualification de l’incident afin d’identifier une éventuelle cause malveillante » :

  • En cas d’attaque cyber, le CERT Santé déroule un « protocole adapté » en appui de l’établissement à l’origine de la déclaration, afin de le « prémunir contre un risque de propagation ». La préservation de preuves numériques est préconisée comme mesure d’urgence par le CERT Santé.
  • A l’inverse, si l’incident s’avère ne pas être malveillant, l’établissement est informé qu’aucune suite n’est apportée au signalement. De tels incidents apparaissent toutefois dans les statistiques annuelles du CERT Santé.

En outre, le CERT Santé est également chargé d’actions de prévention (notamment mettre à disposition des fiches et des guides pour améliorer la sécurité des systèmes et réduire le risque de cyber-malveillance, offrir un service de cyber surveillance permettant aux structures de tester à la demande les vulnérabilités exposées sur internet, les alerter de leur vulnérabilité, leur proposer un accompagnement pour le renforcement du niveau de sécurité…). Il faut relever que le CERT Santé a étendu son service de réponse à incident aux heures non ouvrées.

L’instruction rappelle qu’indépendamment de ce dispositif de signalement, les autres déclarations demeurent obligatoires (en particulier l’obligation de signalement à l’Agence nationale de la sécurité des systèmes d’information – ANSSI) pour les établissements désignés opérateurs d’importance vitale (OIV) et /ou opérateurs de services essentiels (OSE) du secteur santé. Ces établissements sanitaires et médico-sociaux doivent donc signaler leurs incidents tant au CERT-FR qu’au CERT Santé.

Obligation de signalement à la CNIL 

Enfin, les établissements restent tenus de déclarer à la CNIL directement un incident ayant entrainé « l’indisponibilité, le vol ou la perte de données de santé », dans les conditions prévues au RGPD.

Un rappel de ces obligations de signalement apparait bienvenu dans un contexte d’inflation normative relative à la cybersécurité. La loi « LOMPI » publiée en janvier dernier a en effet rendu nécessaire le dépôt de plainte pour obtenir le remboursement de toutes les cyberattaques ; le projet de loi relatif à la programmation militaire comprend quant à lui un volet dédié à la cybersécurité. Parallèlement, les obligations de notification se multiplient à l’échelle européenne, comme l’illustre la récente directive « NIS 2 ».

 

ARTICLES EN LIEN

27 Juil: Le fait d’être le premier auteur d’un article scientifique ne suffit pas à requalifier le sous-traitant en responsable du traitement 

Plusieurs arrêts de février dernier ont apporté des précisions relatives à la responsabilité de l’employeur en cas d’exposition de ses salariés à l’amiante.

11 Juil: Analyse de l’activité médicale : un nouvel encadrement de l’accès aux données personnelles

Plusieurs arrêts de février dernier ont apporté des précisions relatives à la responsabilité de l’employeur en cas d’exposition de ses salariés à l’amiante.

03 Juil: Santé : une définition des données pseudonymisées bouleversée ?

Le Tribunal de l’Union européenne s’est prononcé sur la qualification de données à caractère personnel d’une information transmise à un destinataire.

11 Oct: Les nouvelles exigences de localisation pour la certification HDS

Les nouvelles exigences de localisation pour la certification HDS Article rédigé le 11 octobre 2022 par Me Adriane Louyer La…

11 Oct: Les rançongiciels bientôt assurables ?

Changement de paradigme : les rançongiciels pourront être assurés d’après le projet de loi LOPMI sous réserve d’un dépôt de plainte dans les 48 heures

23 Sep: J-365 : les hôpitaux face au DGA

Un an avant l’application du Data Governance Act (DGA), les hôpitaux, publics comme privés, devraient s’intéresser de plus près à ce nouveau règlement européen