Depuis ce 1er octobre, les établissements de santé (hôpitaux, centres de radiothérapie, laboratoires de biologie médicale...) devront déclarer leurs incidents de sécurité informatique via le portail de signalement des événements sanitaires indésirables depuis l’espace dédié aux professionnels de santé. Le dispositif national - découlant de l'article 110 de la loi santé 2016 - visant à les obliger à signaler ces incidents est entré en vigueur.
« Toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes informatiques, une altération ou une perte de données », fait partie des critères pour signaler un incident de sécurité informatique ou lié aux nouvelles technologies. Les indisponibilités affectant les systèmes participant à la prise en charge d’un patient et/ou les systèmes contribuant au fonctionnement de la structure sont également concernés, tout comme ceux ayant des impacts sur la prise en charge du patient, l'intégrité ou la confidentialité des données de santé à caractère personnel, réglementaire. Sans oublier la perte de confidentialité de données techniques sensibles (mots de passe, clés de chiffrement...).
Un portail d'information et de veille santé
Ce dispositif national, baptisé Cellule Accompagnement Cybersécurité des Structures de Santé (Cellule ACSS), a pour mission de « renforcer l'analyse et le suivi des incidents pour le secteur santé, alerter et informer l'ensemble des acteurs de la sphère santé en cas de menaces et partager les bonnes pratiques sur les actions de prévention ainsi que sur les réponses à apporter suite aux incidents afin de réduire les impacts et mieux protéger les systèmes », indique un communiqué du ministère de la Santé. Un portail d'information et de veille a été mis en ligne pour l'occasion.