Trois outils pour la cybersécurité des hôpitaux

Prévue par le décret n°2016-1214 du 12 septembre 2016, la déclaration des incidents de sécurité sur les systèmes d’informations de santé est entrée en application le 1er octobre 2017. L’Agence française de la santé numérique (Asip Santé) et l’Agence régionale de santé (ARS) ont détaillé la procédure pour les structures concernées : établissements de santé, les hôpitaux des armées, les centres de radiothérapies et les laboratoires de biologie médicale. Elle s’appuie sur le portail existant de signalement des évènements sanitaires indésirables.

Le décret concerne “les incidents graves de sécurité ayant des conséquences potentielles ou avérées sur la sécurité des soins, sur la disponibilité, l’intégrité ou la confidentialité des données de santé ou sur le fonctionnement normal de l’établissement”, selon l’Asip Santé. L’Agence appelle cependant au signalement de “toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données”.

Une cellule Accompagnement cybersécurité des structures de santé

Pour soutenir cette procédure de signalement, une cellule Accompagnement cybersécurité des structures de santé (ACSS) a été mise en place le 1er octobre par l’Asip Santé. Elle vise à “apporter un appui au traitement de ces incidents”, précise l’organisme sans détailler les ressources allouées. Enfin, un portail dédié à l’information et la veille dans le domaine de la santé a été mis en ligne le 1er octobre. Dépendant du ministère des Solidarités et de la Santé et de l’Asip Santé, il détaille l’actualité de la sécurité des systèmes d’informations mais également les bonnes pratiques. Un espace privé sera également dédié au partage entre les professionnels du secteur.