La démarche de signalement des incidents de sécurité des systèmes d’information numériques de santé

Services | 21 sept. 2017

A partir du 1er octobre 2017, les signalements des incidents de sécurité sur les systèmes d’information sont obligatoires.
Ils sont effectués via le portail de signalement des évènements sanitaires indésirables, dans l’espace des professionnels de santé :

signalement.social-sante.gouv.fr

Accéder au portail de signalement des événements sanitaires indésirables


Le traitement des signalements est directement réalisé par la cellule ACSS, du lundi au vendredi de 9h à 18h*.

Le décret du 12 octobre 2016 précité précise que les structures doivent signaler les incidents graves de sécurité ayant des conséquences :
  • potentielles ou avérées sur la sécurité des soins,
  • sur la disponibilité, l’intégrité ou la confidentialité des données de santé,
  • sur le fonctionnement normal de l’établissement.
D’une façon plus générale, il est demandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données.

Les directeurs des structures sont chargés de réaliser cette déclaration ou désignent une personne déléguée responsable du signalement des incidents.
Les agences régionales de santé s’appuient sur la cellule ACSS de l’ASIP Santé, chargée d’analyser la déclaration et de qualifier les incidents signalés.
La cellule ACSS de l’ASIP Santé informe la structure concernée par l’incident de la prise en compte et de l’analyse de son signalement. 

L’ASIP Santé et l’agence régionale de santé peuvent demander à la structure concernée par l’incident toute information complémentaire permettant la qualification de l’incident et la mise en place d’une réponse adaptée. 

À la demande de la structure concernée par l’incident, l’ASIP Santé et l’agence régionale de santé l’accompagnent dans la gestion de l’incident. Elles peuvent formuler des recommandations et notamment proposer des mesures d’urgence pour limiter l’impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés.   

Les agences régionales de santé doivent mettre en place une organisation interne appropriée pour suivre le traitement des signalements d’incidents de sécurité.

 

*Important :

En dehors des jours ouvrés, en cas d’incident critique suspecté, le FSSI pourra être saisi directement à l’adresse : ssi@sg.social.gouv.fr.
 
 

En savoir plus sur :

Les services du dispositif

  

Retour à la présentation du dispositif :

L'Accompagnement Cybersécurité des Structures de Santé