Le ministère de la Santé a lancé le 1er octobre le portail de déclaration obligatoire des incidents de sécurité sur les systèmes d'information des établissements. Baptisé « cellule accompagnement cybersécurité des structures de santé » (cellule ACSS), ce dispositif national d'appui est prévu par la loi de santé de Marisol Touraine (article 110).
Jusqu'ici, les hôpitaux français déclaraient au fonctionnaire de la sécurité des systèmes d'information (FSSI) les attaques subies, sur la base du volontariat. Mais à compter du 1er octobre, le texte prévoit pour les établissements de santé, les hôpitaux des armées, les centres de radiothérapie ainsi que les laboratoires de biologie médicale, l'obligation de signaler les incidents graves de sécurité de leurs systèmes d'information.
Pour les structures de santé concernées, c'est la plateforme « signalement.social-sante.gouv.fr » (portail de signalement des événements sanitaires indésirables) qui doit être utilisée avec une rubrique spécifique sur les incidents de cybersécurité.
Les structures de santé devront « signaler toute action ou suspicion d'action malveillante causant une indisponibilité partielle ou totale de leurs systèmes d'information, une altération ou une perte de leurs données et plus généralement ayant un impact sur le fonctionnement normal de l'établissement », précise Ségur.
La sécurité numérique, un enjeu pour la santé
L'enjeu est de taille notamment après le piratage du système public de santé britannique (NHS) le 12 mai dernier. Le virus WannaCry avait infecté en quelques jours un tiers des hôpitaux et cliniques d'Angleterre ainsi qu'un grand nombre des 8 000 cabinets médicaux du pays, entraînant le report et l'annulation de plusieurs centaines interventions médicales.
En 2015, la Haute autorité de la santé (HAS) avait recensé 1 300 incidents parmi lesquels 18 attaques réelles et sérieuses créant un risque pour les systèmes d’information de l’hôpital, avait précisé Bruno Brossard, de l’Agence des systèmes d'information partagés de santé (ASIP-Santé), lors du salon hospitalier Paris Healthcare Week en mai 2016.
La date du 1er octobre n'est pas un hasard. C'est le lancement du mois européen de la cybersécurité où ministères, associations et organisations professionnelles lancent diverses actions de sensibilisation. C'est également à cette date que le portail « cybermalveillance.gouv.fr », un dispositif d'assistance aux victimes d'attaques informatiques (particuliers et entreprises) a été déployé sur tout le territoire.
Enfin, un dernier portail « cyberveille-sante.gouv.fr » dédié à l'information et la veille est opérationnel. Il propose des « bulletins de veille sur certaines vulnérabilités logicielles », des « fiches réflexes » ou encore des « guides pour répondre à différents types d'incidents ».
Transition de genre : la Cpam du Bas-Rhin devant la justice
Plus de 3 700 décès en France liés à la chaleur en 2024, un bilan moins lourd que les deux étés précédents
Affaire Le Scouarnec : l'Ordre des médecins accusé une fois de plus de corporatisme
Procès Le Scouarnec : la Ciivise appelle à mettre fin aux « silences » qui permettent les crimes