etablissements sanitaires et médico-sociaux : rappel des obligations de signalement
Article rédigé par Alice Agard, Adriane Louyer, Laurence Huin
Dans une instruction publiée au Bulletin officiel « Santé – Protection sociale – Solidarité » du 31 mai 2023, le ministère de la Santé et de la Prévention rappelle la réglementation existante et ses dernières évolutions en matière de signalement d’incidents significatifs ou graves des systèmes d’information (SI) et clarifie les obligations qui s’imposent alors aux établissements sanitaires et établissements médico-sociaux.
A cet égard, il est possible de renvoyer aux articles publiés sur ce blog concernant les évolutions de l’obligation de notification des incidents significatifs ou graves des systèmes d’information (voir notamment Cybersécurité : panorama de l’actualité juridique – HOUDART & ASSOCIÉS).
Elargissement de l’obligation de signalement :
L’instruction rappelle que l’ordonnance n°2020-1407 du 18 novembre 2020 relative aux missions des ARS et le décret n°2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information ont élargi cette obligation de signalement aux établissements médico-sociaux. Elle précise que cette obligation « s’applique également aux incidents susceptibles de toucher d’autres établissements, organismes ou services », en cas d’attaque se propageant par rebond depuis l’établissement touché ou à la suite d’un incident provoqué par un sous-traitant victime d’une attaque et fournissant des services à plusieurs établissements.
Dispositif de signalement
Le CERT Santé porté par l’Agence du Numérique en Santé (ANS) est au centre de la gestion des signalements des établissements de santé et médico-sociaux. Tous les signalements lui remontent en effet directement via le Portail des signalements des événements sanitaires indésirables (PSIG).
Il doit informer sans délai tout signalement à l’ARS et au pôle fonctionnaire de sécurité des systèmes d’information du Service du haut fonctionnaire de défense et de sécurité (SHFDS) « que l’incident soit de nature malveillante ou non, avec ou sans impact sanitaire ».
Les ARS resteront systématiquement informées des échanges entre le CERT Santé et les structures déclarantes, de sorte qu’elles pourront intervenir si besoin auprès des établissements en cas d’impact de l’incident sur l’offre de soins.
Si l’incident est susceptible d’avoir un impact sanitaire, le CERT Santé doit en outre remonter le signalement sans délai au Centre opérationnel de régulation et de réponse aux urgences sanitaires et sociales (CORRUSS).
L’instruction précise les modalités de déclaration des incidents de sécurité des systèmes d’information La déclaration doit être effectuée sans délai auprès du CERT Santé et le formulaire de déclaration doit être renseigné sur le portail des signalements (Accueil – Portail de signalement des événements sanitaires indésirables (social-sante.gouv.fr)). Le déclarant doit alors fournir toutes les informations dont il dispose au moment de la découverte de l’incident. L’instruction détaille certaines informations devant alors être fournies.
Elle rappelle également le rôle dévolu au CERT Santé par le Code de la santé publique. Dès la réception du signalement, le CERT Santé assure un « travail de qualification de l’incident afin d’identifier une éventuelle cause malveillante » :
- En cas d’attaque cyber, le CERT Santé déroule un « protocole adapté » en appui de l’établissement à l’origine de la déclaration, afin de le « prémunir contre un risque de propagation ». La préservation de preuves numériques est préconisée comme mesure d’urgence par le CERT Santé.
- A l’inverse, si l’incident s’avère ne pas être malveillant, l’établissement est informé qu’aucune suite n’est apportée au signalement. De tels incidents apparaissent toutefois dans les statistiques annuelles du CERT Santé.
En outre, le CERT Santé est également chargé d’actions de prévention (notamment mettre à disposition des fiches et des guides pour améliorer la sécurité des systèmes et réduire le risque de cyber-malveillance, offrir un service de cyber surveillance permettant aux structures de tester à la demande les vulnérabilités exposées sur internet, les alerter de leur vulnérabilité, leur proposer un accompagnement pour le renforcement du niveau de sécurité…). Il faut relever que le CERT Santé a étendu son service de réponse à incident aux heures non ouvrées.
L’instruction rappelle qu’indépendamment de ce dispositif de signalement, les autres déclarations demeurent obligatoires (en particulier l’obligation de signalement à l’Agence nationale de la sécurité des systèmes d’information – ANSSI) pour les établissements désignés opérateurs d’importance vitale (OIV) et /ou opérateurs de services essentiels (OSE) du secteur santé. Ces établissements sanitaires et médico-sociaux doivent donc signaler leurs incidents tant au CERT-FR qu’au CERT Santé.
Obligation de signalement à la CNIL
Enfin, les établissements restent tenus de déclarer à la CNIL directement un incident ayant entrainé « l’indisponibilité, le vol ou la perte de données de santé », dans les conditions prévues au RGPD.
Un rappel de ces obligations de signalement apparait bienvenu dans un contexte d’inflation normative relative à la cybersécurité. La loi « LOMPI » publiée en janvier dernier a en effet rendu nécessaire le dépôt de plainte pour obtenir le remboursement de toutes les cyberattaques ; le projet de loi relatif à la programmation militaire comprend quant à lui un volet dédié à la cybersécurité. Parallèlement, les obligations de notification se multiplient à l’échelle européenne, comme l’illustre la récente directive « NIS 2 ».