Signalement des incidents graves de sécurité
•Télécharger en tant que PPTX, PDF•
0 j'aime•2,009 vues
Art 110 Loi de santé 2016
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à Signalement des incidents graves de sécurité
Similaire à Signalement des incidents graves de sécurité (20)
Plus de ASIP Santé
Plus de ASIP Santé (20)
Signalement des incidents graves de sécurité
- 1. Signalement des incidents graves de sécurité des systèmes d’information Article L.1111-8-2 du code de la santé publique Philippe Loudenot, FSSI du Ministère des Affaires sociales et de la Santé Emmanuel Sohier, Expert sécurité à l’ASIP Santé
- 2. 2 L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent les systèmes d’information à une plus grande menace et à des incidents de sécurité. La mise en défaut de ces systèmes pourrait impacter fortement l’activité de l’ensemble des acteurs du secteur et la prise en charge des patients. Contexte • L’article 110 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé prévoit l’obligation de signalement des incidents de sécurité. • Le décret n° 2016-1214 du 12 septembre 2016 décrit les conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d’information. Règlementation • La mise en place du dispositif de traitement des signalements des incidents de sécurité est pilotée par le HFDS/FSSI. • La mise en œuvre opérationnelle est déléguée à l’ASIP Santé au travers de la Cellule ACSS – Accompagnement Cybersécurité des Structures de Santé Gouvernance • Renforcer le suivi des incidents de sécurité dans les structures de santé ciblées : établissements de santé, hôpitaux militaires, laboratoires de biologie médicale et les centres de radiothérapie ; • Alerter et informer l’ensemble des acteurs de la sphère santé dans le cas d’une menace pouvant avoir un impact sur le secteur ; • Partager des bonnes pratiques sur les actions de prévention ainsi que sur les réponses à apporter suite aux incidents, afin de réduire les impacts et de mieux protéger les systèmes. Objectifs Dispositif de traitement des incidents de sécurité Objectifs et Gouvernance
- 3. Le dispositif de traitement des signalements d’incidents de sécurité 3 • Etablissements de santé • Hôpitaux militaires • Centres de radiothérapie • Laboratoires de biologie médicale Signalement des incidents graves SSI Conséquences potentielles ou avérées sur la sécurité des soins ; Conséquences sur la disponibilité, l’intégrité ou la confidentialité des données de santé ; Conséquences sur le fonctionnement normal de l’établissement Mise en application le 1er Octobre 2017 Devront être systématiquement signalés : Toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données Tout impact sur la prise en charge des patients, sur le fonctionnement interne de la structure et sur les données à caractère personnel
- 4. La mise en place du dispositif Rôle de l’ASIP Santé 4 • Une logique de sensibilisation et d’accompagnement afin de favoriser les déclarations spontanées des structures ; • Un rôle de conseil ou d’orientation vers les acteurs adéquats, mais en aucun cas une prise en charge de l’incident à la place de la structure victime ; • Une attention particulière portée sur la sécurité du dispositif pour assurer la confidentialité des informations communiquées par les structures. La mise en place du dispositif est guidée par les principes suivants : Réponse apportée Analyse des signalements Appui à la gestion des incidents par les structures (impact, aide au traitement) Accompagnement des acteurs
- 5. 5 • Accompagnement et appui au traitement des incidents (qualification de la criticité, des recommandations de remédiation, plan de confinement, plan de protection, plan de correction) L’ASIP constitue une Cellule ACCS – Accompagnement Cybersécurité des Structures de Santé, qui va mener trois activités opérationnelles : Cellule ACSS - Accompagnement Cybersécurité des Structures de Santé Qualification des signalements et accompagnement des structures (1/2) Fiches réflexes face à un incident Modèles de documents supports au processus Guides et bonnes pratiques Rapport d’activitésPrévention
- 6. 6 • Animation de la communauté SSI avec la mise en place d’un espace d’échange pour les correspondants SSI de la cellule ACSS Cellule ACSS - Accompagnement Cybersécurité des Structures de Santé Qualification des signalements et accompagnement des structures (2/2) • Veille sur l’actualité SSI (émergence de menaces, méthodologies innovantes, vulgarisation d’analyses techniques) et sur les vulnérabilités concernant des matériels et logiciels du secteur santé Un espace ouvert dédié à la sensibilisation à la SSI et à la publication d’informations sur la SSI spécifique au secteur santé Un espace restreint pour les correspondants SSI en vue de partager des bonnes pratiques et des retours d’expérience sur le traitement des incidents Portail de veille et d’échanges cyberveille-sante.gouv.fr Sensibilisation à la sécurité Diffusion d’une veille spécifique sur le secteur santé Corpus documentaire s’appliquant au secteur de la santé
- 7. 7 Le portail de signalement des évènements sanitaires indésirables a été choisi pour permettre aux structures mentionnées par le décret de déclarer leurs incidents de sécurité. Intégration du formulaire au Portail de signalement Un Portail de déclaration Déclaration d’un incident de sécurité Le Portail de signalement des évènements sanitaires indésirables
- 8. 8 Déclaration d’un incident de sécurité sur le Portail de signalement Les étapes du signalement A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information : - 1 - Accéder au Portail des signalements et Cliquer sur « Professionnels de Santé »
- 9. 9 Déclaration d’un incident de sécurité sur le Portail des signalements Les étapes du signalement - 2 - Choisir « incident grave de sécurité des systèmes d’information » Incident de sécurité des systèmes d’information A partir du 1er octobre 2017, pour déclarer un incident grave de sécurité des systèmes d’information :
- 10. 10 Déclaration d’un incident de sécurité sur le Portail des signalements Les étapes du signalement - 3 - Remplir le formulaire de déclaration A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information :
- 11. 11 Déclaration d’un incident de sécurité sur le Portail des signalements Les étapes du signalement Validation du contenu par le déclarant et notification du dépôt de la déclaration à l’ARS concernée et à l’ASIP Santé - 4 - A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information :
- 12. 12 Où signaler un incident de sécurité ? A partir du 1er octobre 2017, les signalements seront obligatoires via le portail de signalement des évènements sanitaires indésirables – espace des professionnels de santé : https://signalement.social-sante.gouv.fr En dehors des jours ouvrés, en cas d’incident critique suspecté, le FSSI du ministère des solidarités et de la santé pourra être saisi directement à l’adresse : ssi@sg.social.gouv.fr