Cyber-criminalié

Décryptage des nouveautés prévues par la loi N°2018-133 du 26 février 2018[1] transposant la Directive Network and Information System

A l’heure où le numérique est omniprésent et le nombre de cyberattaques en constante augmentation[2], la mise en place d’une cyber-sécurité efficiente est une priorité. L’attaque mondiale « Wannacry » du 12 mai 2017 a réveillé les consciences : les systèmes d’information doivent être sécurisés et fiables. Les cyberhackers ont exploité une faille du logiciel Windows pour s’infiltrer simultanément dans plus de 300.000 ordinateurs et menacé de divulguer des données personnelles. Le secteur de la santé n’a pas été épargné : le système informatique du laboratoire Merck s’est retrouvé bloqué et 45 hôpitaux britanniques ont été totalement paralysés. Les conséquences sont sérieuses, plusieurs opérations chirurgicales ont dû être reportées, des patients se sont vu refuser l’accès aux urgences et la protection des données de santé a été gravement compromise. Cet évènement n’est pourtant pas un cas isolé, 4 165 attaques de ce type ont été dénombrées en France en 2016[3] confirmant la vulnérabilité des  systèmes d’exploitation des établissements de santé.

Afin d’éviter de nouvelles prises d’otages, le renforcement de la cyber-sécurité nationale et la mise en place d’une coopération européenne est indispensable. C’est en ce sens que fut adoptée la directive 2016/1148 le 6 juillet 2016 visant à instaurer un niveau élevé de sécurité des réseaux et des systèmes d’information[4]. Les États avaient jusqu’au 9 mai 2018 pour transposer cette directive plus connue sous le nom de NIS « network and information system ». L’objectif est de parvenir à une stratégie globale donnant aux États les moyens de se protéger et de se prémunir de ces nouveaux risques. En conséquence, la France a promulgué le 26 février 2018, la loi de transposition de la directive qui entrera en vigueur le 10 mai 2018[5],  portant diverses dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs et des fournisseurs de service numérique. Cette loi s’inscrit dans le prolongement du dispositif de cyber-sécurité des opérateurs d’importance vitale introduit par le législateur français en 2013[6]. Cependant, cette loi ne concernait que le secteur de la défense. Il fallait donc aller plus loin et garantir une cyber-sécurité étendue à tous les réseaux et systèmes d’information des opérateurs essentiels.

Que prévoit la loi ?

La grande nouveauté de cette loi est d’imposer des obligations, notamment de préventions et de contrôles, à tous les opérateurs de service essentiels (OSE), définis comme étant des « des opérateurs publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie »[7]. Au sens de la directive, les OSE dans le secteur de la santé sont les prestataires de soins[8]. On peut donc en déduire que tous les établissements de santé sont concernés par cette loi. Cela sera confirmé par le décret d’application prévu au plus tard pour le 9 novembre 2018.

4 principales règles de sécurité sont alors formalisées :

  1. La gouvernance de la sécurité des réseaux et systèmes d’information
  2. La protection des réseaux et systèmes d’information
  3. La défense des réseaux et systèmes d’information
  4. La résilience des activités

La finalité de ce texte est d’instaurer davantage de prévention : les établissements de santé devront d’une part, respecter des règles de sécurité[9], et  d’autre part, informer l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des incidents susceptibles d’avoir un impact significatif sur la continuité de leurs services[10]. Rappelons que depuis le 1er octobre 2017, les établissements de santé sont assujettis à l’obligation de signaler sans délai tout incident grave de sécurité de leurs systèmes d’information, conformément aux dispositions de l’article L.1111-8-2 du code de la santé publique[11].

Les établissements de santé seront également soumis à des contrôles et devront coopérer en fournissant tous leurs documents utiles[12]. En outre, la loi prévoit que les dirigeants des opérateurs de services essentiels pourront être sanctionnés s’ils ne se soumettent pas aux règles de sécurité, s’ils ne déclarent pas les incidents ou s’ils font obstacle aux opérations de contrôles. L’amende prévue par la loi pourra s’élever à 125 000 €[13] !

La Direction Générale de l’Offre de Soins (DOGS) a mis en ligne un mémento[14] de cyber-sécurité à destination des directeurs des établissements de santé afin de sensibiliser ces opérateurs aux questions majeures de sécurité qui se posent et continueront à se poser dans le cadre actuel de l’innovation en santé, des technologies de l’information, de l’organisation des soins et du décloisonnement entre les acteurs du secteur.

Quelle est la prochaine étape ?

Attendre le décret d’application prévu au plus tard pour le 9 novembre 2018, qui dressera une liste précise des opérateurs de services essentiels et précisera les règles de protection qui s’imposent à eux[15].

Entre cyber-sécurité, protection des données personnelles de santé avec l’entrée en vigueur du RGPD le 25 mai prochain[16] et nouvelle procédure de certification des hébergeurs, l’année 2018 sera riche en réglementations visant à renforcer la sécurité des données sensibles et des systèmes d’information qui les exploitent et les hébergent.

La donnée de santé est désormais au cœur de l’offre de soins et un véritable écosystème de protection est mis en œuvre. Il est donc urgent que les établissements de santé se prémunissent et agissent pour se mettre en conformité de ces nouvelles dispositions.

 

[1] Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[2] Selon l’étude réalisée par le cabinet PWC : https://www.pwc.fr/fr/espace-presse/communiques-de-presse/2017/novembre/les-entreprises-francaises-accusent-des-pertes-financieres.html

[3] The Global State of information Security Survey 2017-octobre 2016 – Etude réalisée par le cabinet PWC.

[4] Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

[5] Article 25 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[6] Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

[7] Article 5 chapitre II de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[8] Annexe II, de la Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

[9] Qui seront également fixées par décret, article 6 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[10] Article 7 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[11] Article 2, Ordonnance n°2018-20 du 17 janvier 2018 relative au service de santé des armées et à l’Institution nationale des invalides.

[12] Article 7 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[13] Article 9 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[14] http://solidarites-sante.gouv.fr/systeme-de-sante-et-medico-social/e-sante/sih/article/memento-de-cybersecurite

[15] Article 25 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[16] Règlement 2016/679 du 24 avril 2016 relatif à la protection des données.

%s

Vous devez être connecté pour poster un commentaire.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.