Le gouvernement avait annoncé en février son intention de désigner "d’ici trois mois" les 135 groupements hospitaliers comme OSE.
Ce sont finalement "tous les établissements support de GHT" qui ont été désignés OSE le 1er juin, a déclaré Charlotte Drapeau, précisant ce qu'avait indiqué le directeur général de l'Anssi, Guillaume Poupard, début juin.
Les établissements désignés OSE ont quatre obligations, dont "la déclaration d'incidents informatiques auprès du CERT-FR" (centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques) de l'Anssi, a-t-elle rappelé.
Cette obligation de déclaration au CERT-FR "s'ajoute à l'obligation de déclaration" auprès du CERT santé (ex-cellule ACSS) de l'Agence du numérique en santé (ANS), qui concerne déjà tous les établissements sanitaires et médico-sociaux.
Les autres obligations des OSE sont:
- "disposer d'un point de contact avec l'Anssi, qui est le plus souvent le responsable de la sécurité des systèmes d'information" (RSSI) de l'établissement
- "avoir déclaré les systèmes d'informations essentiels" à l'Anssi
- "appliquer les 23 mesures de sécurité" de la directive européenne NIS (Network and Information Security), qui régit le