https://inovelan.fr/santnetbox/

Systèmes d'information

Sécurité informatique: un décret détaille les incidents devant être signalés par les établissements de santé

1 58

PARIS, 19 septembre 2016 (TICsanté) - Un décret détaille les catégories d'incidents de sécurité des systèmes d'information (SI) des établissements et services de santé devant faire l'objet d'un signalement à l'agence régionale de santé (ARS) compétente.

Ce texte est pris en application de l'article 110 de la loi du 26 janvier 2016 de "modernisation de notre système de santé", qui a renforcé le dispositif d'alerte en cas d'atteintes aux SI des établissements.

La loi prévoit un signalement "sans délai" à l'ARS, qui fait suivre à son tour aux "autorités compétentes de l'Etat" les incidents jugés "significatifs".

Les organismes concernés par la procédure de signalement sont les établissements de santé, les hôpitaux des armées, les laboratoires de biologie médicale et les centres de radiothérapie, selon le décret.

La déclaration des incidents graves de sécurité des SI doit permettre aux autorités concernées, notamment l'Agence nationale de sécurité des systèmes d'information (Anssi), d'adapter sa stratégie de sécurité des SI, et aider les établissements à "prendre toute mesure utile" pour en prévenir la survenue ou en limiter leurs effets.

"Sont considérés comme incidents graves de sécurité" des SI "les événements générateurs d'une situation exceptionnelle", dont ceux "ayant des conséquences potentielles ou avérées sur la sécurité des soins", "des conséquences sur la confidentialité ou l'intégrité des données de santé" et les incidents "portant atteinte au fonctionnement normal de l'établissement, de l'organisme ou du service", dispose le décret.

"Sont jugés significatifs les incidents ayant un retentissement potentiel ou avéré sur l'organisation départementale, régionale ou nationale du système de santé et les incidents susceptibles de toucher d'autres établissements, organismes ou services", est-il ajouté.

La déclaration des incidents à l'ARS incombe au directeur de l'établissement concerné. L'agence régionale est "responsable" de leur qualification et doit à son tour transmettre les incidents significatifs à l'Agence des systèmes d'information partagés de santé (Asip santé).

Cette dernière doit assurer l'analyse de ces incidents, fournir un appui aux ARS en organisant des retours d'expérience et proposer des mesures d'aide au traitement des incidents, et gérer le traitement de données relatif aux signalements.

L'Asip santé devra informer sans délai le service du haut fonctionnaire de défense et de sécurité (HFDS) des ministères chargés des affaires sociales de tout signalement analysé, ainsi que les services de la direction générale de la santé (DGS) pour tout signalement "susceptible d'avoir un impact sanitaire direct ou indirect, notamment en cas de dysfonctionnement de l'offre de soins".

Elle devra établir un rapport annuel statistique portant sur les "signalements anonymisés" des incidents, qui sera rendu public.

L'attribution de cette compétence de supervision à l'Asip santé est nouvelle, puisque lors des débats à l'Assemblée nationale, le député Gérard Bapt (PS, Haute-Garonne) souhaitait confier cette responsabilité à l'Anssi, note-t-on.

Un arrêté précisera les modalités de signalement et de traitement des incidents.

Plus de 1.300 attaques informatiques ont été recensées contre les établissements de santé en 2015, avait indiqué en avril Philippe Loudenot, fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère des affaires sociales, lors du congrès de l'Association pour la promotion de la sécurité des systèmes d'information en santé au Mans (Apssis) (voir dépêche du 8 avril 2016).

(Décret n°2016-1214 du 12 septembre 2016, Journal officiel du mercredi 14 septembre, texte 15)

vg/nc/ab

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

Microsoft s'allie à Enovacom pour intégrer l'espace MSSanté

Microsoft et Enovacom, filiale d'Orange Business Services spécialisée dans l'interopérabilité des systèmes d'information de santé, ont annoncé début décembre un partenariat afin de rendre la messagerie Exchange* de Microsoft compatible avec l'espace national des messageries sécurisées de santé (MSSanté).

0 444

En bref

Publication de l'ordonnance sur la loi relative à la protection des données personnelles

Le gouvernement a publié le 13 décembre au Journal officiel l'ordonnance de mise en application de la loi du 20 juin 2018 relative à la protection des données personnelles qui réécrit la loi "Informatique et libertés" de 1978.

0 202

Vos réactions

Afficher/Masquer les commentaires (1)

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
8 + 4 =
http://www.canyon.fr/
https://www.groupepsih.com/
http://www.corwin.eu/logiciel-sante.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=fevrier2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Hacking Health Camp 2019

    Du 22/03/2019 au 24/03/2019

  • 7ème Congrès national de l'Apssis

    Du 02/04/2019 au 04/04/2019

  • Congrès Pro Digital Health

    Du 04/04/2019 au 05/04/2019

  • 2e Forum Derm@to Connecté

    Le 17/05/2019

  • Paris Healthcare Week 2019

    Du 21/05/2019 au 23/05/2019

  • 59èmes Journées d'études et de formation de l'IHF

    Du 05/06/2019 au 07/06/2019