Accompagnement Cybersécurité des Structures de Santé (ACSS) : un an après, quel bilan ?

Politique publique | 30 Nov 2018
Afin d’améliorer le niveau de sécurité numérique du secteur santé, le ministère des solidarités et de la santé a mis en place un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des structures de santé. Sa mise en œuvre est articulée autour d’une structure nationale d’analyse et d’appui opérée par l’ASIP Santé, appelée ACSS. Après une année de fonctionnement, un premier bilan peut être dressé.
 

Le ministère des solidarités et de la santé a mis en place, depuis le 1er octobre 2017, un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins.

Il s’agit là d’un élément clé de la stratégie d’amélioration du niveau de sécurité numérique du secteur santé portée par le ministère des solidarités et de la santé, en coordination étroite avec les autorités gouvernementales en charge de la cyber sécurité.
 
Le FSSI des ministères sociaux est chargé d’assurer le pilotage de ce dispositif. Avec l’ASIP Santé, il apporte un appui aux ARS et aux structures concernées, au travers d’une structure nationale d’assistance et d’appui appelée « Cellule Accompagnement Cybersécurité des Structures de Santé » (ACSS).

 

La cellule ACSS, c’est quoi ?

 
La cellule ACSS intervient auprès des structures de santé dans le cadre de leur signalement :
  • récupération du signalement sur le portail des signalements des évènements sanitaires indésirables ;
  • analyse et qualification du signalement ;
  • accompagnement dans le traitement de l’incident.
 
Une veille sur l’actualité de la sécurité des systèmes d’information et sur les menaces propres au secteur de la santé est proposée via le portail cyberveille-sante.gouv.fr, mis à jour quotidiennement.
Le portail cyberveille-santé facilite les échanges autour de la cybersécurité entre les acteurs du secteur de la santé.
 
319 déclarations d’incidents ont été recueillies après un an d’activité d’ACSS. Ce chiffre ne reflète pas encore la réalité du terrain car toutes les structures de santé ne sont pas informées de cette obligation de déclaration, ou hésitent encore à le faire par honte d’avoir été piratées, par négligence ou tout simplement par manque de temps. Pourtant il est important de déclarer son incident, non seulement pour bénéficier d’un appui,  mais aussi pour permettre à la cellule ACSS d’alerter si nécessaire l’ensemble des acteurs du secteur sur l’état de la menace et  de proposer des mesures de protection afin de limiter les impacts d’un incident à grande échelle.

 

Un an d’ACSS en quelques chiffres :

 
319 incidents déclarés sur le portail des signalements
41 demandes d’accompagnement
47% : c’est le pourcentage des incidents qui ont une origine malveillante
 
Vous pouvez télécharger le rapport public de l’observatoire des signalements d’incidents de sécurité des systèmes d’information pour le secteur santé (retour sur la première année) disponible dans cet article.