everythingpossible - Fotolia
Incidents de sécurité : le monde de la santé devra signaler « sans délai »
Le décret précisant les conditions de signalement des incidents « graves » de sécurité informatique dans le monde de la santé vient d’être publié. Il manque toutefois de précisions.
C’est au Journal Officiel du 14 septembre dernier qu’a été publié le décret devant définir les « conditions et modalités de mise en œuvre du signalement des incidents graves de sécurité des systèmes d’information » des organismes de santé. Il découle de l’article 110 de la loi du 26 janvier 2016 de modernisation du système de santé français.
Ce texte commence par définir ce que les autorités Hexagonales entendent par incident « grave » de sécurité informatique. Il s’agit d’incidents « ayant des conséquences potentielles ou avérées sur la sécurité des soins », « des conséquences sur la confidentialité ou l’intégrité des données de santé », ou encore « portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service ».
On imagine ainsi aisément que la compromission de systèmes par des rançongiciels rentrent ainsi dans la catégorie des incidents « graves ». En début d’année, Philippe Loudenot, fonctionnaire de la sécurité des systèmes d’information au ministère des Affaires sociales, indiquait d’ailleurs à nos confrères de TICsanté que les établissements de santé français sont également confrontés à la menace des ransomwares de manière régulière. Toutefois, selon lui, « nous n’avons jamais eu à déplorer d’interruption de service due à une attaque ».
Le décret ajoute une nuance, définissant les incidents graves « significatifs ». Ce sont ceux qui ont « un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé, et les incidents susceptibles de toucher d’autres établissements, organismes ou services ».
La subtilité tient au traitement des incidents. Dans tous les cas, ils doivent être déclarés « sans délai » - et l’on pourra regretter là le flou retenu par les autorités. Mais les incidents qui ne sont que graves sont du ressort de l’agence régionale de santé. Ce qui sont jugés « significatifs » relèvent quant à eux des groupements d’intérêt public (GIP) chargés du développement des SI de santé partagés – anciennement syndicats d’informatique hospitalière (SIH) – instaurés par la loi dite HPST de 2009. Ces GIP doivent assurer l’analyse des incidents qui leur sont signalés, mais également aider les agences régionales de santé ou encore appuyer « la prévention des incidents en organisant les retours d’expérience au niveau national » et proposer des mesures « d’aide au traitement des incidents ».
Les analyses effectuées par les GIP doivent ensuite être remontées – encore une fois « sans délai »… – au « service du haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales », ainsi qu’aux « services compétents de la direction générale de la santé », pour les incidents susceptibles d’avoir un « impact sanitaire direct ou indirect ». Une fois par an, les GIP doivent produire un rapport statistique public sur tous les incidents qui auront été signalés.
Les modalités concrètes de signalement et de traitement des incidents sont laissées à la discrétion du ministère de la Santé qui doit les préciser par arrêté. Le décret publié ce 14 septembre entrera en vigueur au 1er octobre 2017. Eric Egéa, conseiller en cybersécurité et criminalistique, estime que ce délai sera « très court » pour beaucoup.