Article 110 : les 4 questions de l’APSSIS au Ministère

Article 110 : les 4 questions de l’APSSIS au Ministère

L’article 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016 a ajouté une nouvelle disposition en matière de sécurité des systèmes d’information de santé. L’article L. 1111-8-2 du code de la santé publique dispose que : « Les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l'agence régionale de santé les incidents graves de sécurité des systèmes d'information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l'agence régionale de santé aux autorités compétentes de l’Etat. Un décret définit les catégories d'incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d'information. »

Madame Frédérique POTHIER, Chargée de Mission, DSSIS ⁽¹⁾ et Monsieur Philippe LOUDENOT, FSSI ⁽²⁾ des Ministères chargés des Affaires Sociales, répondent aux 4 questions de l’APSSIS.

Quelles sont les conséquences opérationnelles de cette obligation pour les établissements de santé ?

La déclaration des incidents graves de sécurité des systèmes d’information a pour objectifs de fournir aux autorités compétentes de l’Etat les informations nécessaires pour décider des mesures de prévention en matière de SSI et pour aider les établissements et organismes concernés à prendre toute mesure utile pour prévenir la survenue d’incidents graves de sécurité ou d’en limiter les effets. Le décret n°2016-1214 du 12 septembre 2016 définit en outre la liste des acteurs concernés : il s’agit des établissements de santé, des hôpitaux des armées, des laboratoires de biologie médicale et des centres de radiothérapie.

Opérationnellement, il s’agit notamment, pour eux, de :

• mettre à jour l’inventaire complet de leurs SI : liste des composants techniques et logiciels du SIH (serveurs, stockeurs, systèmes et outils, postes de travail, composants réseaux, applications professionnelles médicales et non médicales), liste des matériels biomédicaux, cartographies des systèmes, des réseaux, de l’architecture applicative et des flux
• sensibiliser les personnels à la sécurité des SI et aux bonnes pratiques d’usage des technologies numériques
• vérifier la chaîne d’alerte interne à leur organisation

Le signalement des incidents graves de SSI entrera en vigueur le 1er octobre 2017.

Le terme « incident de sécurité » n’est pas toujours simple à définir pour les DSI et les RSSI. Alors comment définit-on un incident de sécurité relativement aux catégories d’incidents d’exploitation ?

Les frontières sont en effet poreuses entre les incidents d’exploitation et les incidents SSI. Un incident d’exploitation peut en effet avoir des conséquences SSI et inversement.

La typologie des incidents à déclarer est précisée dans le décret du 12 septembre 2016. Il s’agit des événements générateurs d’une situation exceptionnelle au sein d’un établissement et notamment :

• les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins,
• les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé,
• les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service,
• les incidents graves jugés significatifs (ayant un retentissement potentiel ou avéré sur l’organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d’autres établissements).

Un arrêté à venir définira notamment le formulaire de déclaration.

Celui-ci est adapté du formulaire annexé à la PSSI-MCAS (politique SSI des ministères chargés des affaires sociales) et sera mis en ligne à terme pour une déclaration dématérialisée via le portail des signalements des événements sanitaires indésirables accessible à l’adresse :
https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.html#/accueil.

Quels sont les rôles respectifs du RSSI et du DSI dans la gestion des incidents de sécurité ? A quel niveau de la chaîne se situent-ils et quelles sont les actions sous leur responsabilité ?

Le RSSI devrait avoir une vision large du numérique au sein d’un établissement. Il devrait notamment assurer le rôle d’interface entre les métiers et les différentes maîtrises d’œuvre, dans le cadre d’une gestion des risques proactive. Il est un acteur naturel dans le processus de pilotage de la gestion des incidents de sécurité, tout comme le DSI, dont les équipes participent à la détection, à l’évaluation et à la résolution de l’incident.

Néanmoins, peu d’établissements disposent d’un RSSI et les plus petits n’ont pas de DSI. Dans ce cas, le directeur de l’établissement assume les deux rôles et c’est à lui de déclarer l’incident à l’ARS dont il dépend, dans un premier temps.

Lorsqu’un incident de sécurité grave, voire significatif se produit au sein d’un établissement de santé, quelles sont les décisions à prendre, et quels sont les recours ?

Localement, il faut :

• préserver les preuves et préserver le SI non impacté (par exemple par déconnexion de l’application ou du secteur concerné),
• mesurer les impacts de l’incident, notamment en terme de sécurité des soins et de fonctionnement de l’établissement,
• déclarer l’incident à l’ARS,
• porter plainte en cas de cyber attaque,
• restaurer le SI.

Les incidents jugés significatifs sont transmis par les ARS à l’ASIP Santé en application du décret du 12 septembre 2016. L’ASIP Santé est chargée de :

• traiter les signalements en réalisant une analyse en lien avec les déclarants
• proposer un appui aux déclarants (par exemple, une orientation vers un prestataire de confiance ou un établissement proche disposant d’une expertise adaptée)
• mettre en œuvre un retour d’expérience (REX) en continu, alimenté par les signalements et leur analyse, matérialisé par la diffusion d’alertes, la mise à jour des guides et référentiels de la PGSSI-S (politique générale de sécurité des SI de santé), la diffusion d’informations utiles par tous moyens

(1) DSSIS : Délégation à la stratégie des systèmes d’information de santé - Secrétariat général des ministères chargés des affaires sociales - Ministère des affaires sociales et de la santé
(2) FSSI : Fonctionnaire de la Sécurité des Systèmes d’Information – Ministère des affaires sociales et de la santé