Atelier N°10 Signalement des incidents graves de sécurité (art 110 Loi de santé 2016)
1. Signalement des incidents graves de
sécurité – Art 110 Loi de santé 2016
Paris Healthcare Week – 17 mai 2017
Philippe Loudenot, FSSI du Ministère des Affaires
sociales et de la Santé
Emmanuel Sohier, Expert sécurité à l’ASIP Santé
2. 2
L’interconnexion croissante des réseaux et les besoins de dématérialisation exposent les systèmes
d’information à une plus grande menace et à des incidents de sécurité. La mise en défaut de ces
systèmes pourrait impacter fortement l’activité de l’ensemble des acteurs du secteur et la prise en charge
des patients.
Contexte
• L’article 110 de la loi n° 2016-41 du 26 janvier 2016 de
modernisation de notre système de santé prévoit l’obligation
de signalement des incidents de sécurité.
• Le décret n° 2016-1214 du 12 septembre 2016 décrit les
conditions selon lesquelles sont signalés les incidents
graves de sécurité des systèmes d’information.
Règlementation
• La mise en place du dispositif de traitement
des signalements des incidents de sécurité
est pilotée par le HFDS/FSSI.
• La mise en œuvre opérationnelle est
déléguée à l’ASIP Santé.
Gouvernance
• Renforcer le suivi des incidents de sécurité dans les structures de santé ciblées : établissements de
santé, hôpitaux militaires, laboratoires de biologie médicale et les centres de radiothérapie ;
• Alerter et informer l’ensemble des acteurs de la sphère santé dans le cas d’une menace pouvant avoir
un impact sur le secteur ;
• Partager des bonnes pratiques sur les actions de prévention ainsi que sur les réponses à apporter suite
aux incidents, afin de réduire les impacts et de mieux protéger les systèmes.
Objectifs
Art. 110 – Dispositif de traitement des incidents de sécurité
Objectifs et Gouvernance
3. Le dispositif de traitement des signalements d’incidents de sécurité
3
• Etablissements de santé
• Hôpitaux militaires
• Centres de radiothérapie
• Laboratoires de biologie médicale
Signalement des incidents graves SSI
Conséquences potentielles ou avérées
sur la sécurité des soins ;
Conséquences sur la disponibilité,
l’intégrité ou la confidentialité des
données de santé ;
Conséquences sur le fonctionnement
normal de l’établissement
Mise en application le
1er Octobre 2017
Devront être systématiquement signalés :
Toute action ou suspicion d’action
malveillante causant une
indisponibilité partielle ou totale de systèmes
informatiques, une altération ou une perte de
données
Tout impact sur la prise en charge des
patients, sur le fonctionnement interne de la
structure et sur les données à caractère
personnel
4. La mise en place du dispositif
Rôle de l’ASIP Santé
4
• Une logique de sensibilisation et d’accompagnement afin de favoriser les déclarations
spontanées des structures ;
• Un rôle de conseil ou d’orientation vers les acteurs adéquats, mais en aucun cas une prise
en charge de l’incident à la place de la structure victime ;
• Une attention particulière portée sur la sécurité du dispositif pour assurer la confidentialité
des informations communiquées par les structures.
La mise en place du dispositif est guidée par les principes suivants :
Réponse apportée
Analyse des signalements
Appui à la gestion des incidents
par les structures (impact, aide au
traitement)
Accompagnement des acteurs
5. 5
• Accompagnement et appui au traitement des incidents (qualification de la criticité,
recommandations de collecte de preuves), recommandations de remédiation (plan de
confinement, plan de protection, plan de correction)
L’ASIP constitue un Bureau d’Analyse et d’Appui, temporairement identifié BA², qui va mener
trois activités opérationnelles :
Le Bureau d’Analyse et d’Appui
Qualification des signalements et accompagnement des structures (1/2)
Fiches réflexes
face à un incident
Modèles de documents
supports au processus
Guides et bonnes pratiques
Rapport d’activitésPrévention
6. 6
• Animation de la communauté SSI avec la mise en place d’un espace d’échange pour les
correspondants SSI du BA²
Le Bureau d’Analyse et d’Appui
Qualification des signalements et accompagnement des structures (2/2)
• Veille sur l’actualité SSI (émergence de menaces, méthodologies innovantes, vulgarisation
d’analyses techniques) et sur les vulnérabilités concernant des matériels et logiciels du secteur
santé
Un espace ouvert dédié à la sensibilisation à la SSI et à
la publication d’informations sur la SSI spécifique au
secteur santé
Un espace restreint pour les correspondants SSI du BA²
en vue de partager des bonnes pratiques et des retours
d’expérience sur le traitement des incidents
Portail de veille et d’échanges
Sensibilisation à la sécurité Diffusion d’une veille spécifique sur
le secteur santé
Corpus documentaire s’appliquant
au secteur de la santé
7. 7
Le portail de signalement des évènements sanitaires indésirables a été choisi pour
permettre aux structures mentionnées par le décret de déclarer leurs incidents de sécurité.
Intégration du formulaire au Portail de signalement
Un Portail de déclaration
Déclaration d’un incident de sécurité
Le Portail de signalement des évènements sanitaires indésirables
8. 8
Déclaration d’un incident de sécurité sur le Portail de signalement
Les étapes du signalement
A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information :
- 1 -
Accéder au Portail
des signalements
et
Cliquer sur
« Professionnels
de Santé »
9. 9
Déclaration d’un incident de sécurité sur le Portail des signalements
Les étapes du signalement
- 2 -
Choisir « incident
grave de sécurité
des systèmes
d’information »
Incident grave de sécurité
des systèmes d’information
A partir du 1er octobre 2017, pour déclarer un incident grave de sécurité des systèmes d’information :
10. 10
Déclaration d’un incident de sécurité sur le Portail des signalements
Les étapes du signalement
- 3 -
Remplir le
formulaire de
déclaration
A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information :
11. 11
Déclaration d’un incident de sécurité sur le Portail des signalements
Les étapes du signalement
Validation du contenu par
le déclarant et notification
du dépôt de la déclaration
à l’ARS concerné et à
l’ASIP Santé
- 4 -
A partir du 1er octobre 2017, pour déclarer un incident de sécurité des systèmes d’information :
12. 12
Où signaler un incident de sécurité ?
A partir du 1er octobre 2017, les
signalements seront obligatoires via le
portail de signalement des évènements
sanitaires indésirables – espace des
professionnels de santé :
https://signalement.social-sante.gouv.fr
Jusqu’au 30 septembre 2017, les
signalements des incidents de
sécurité des systèmes d’information
se font au HFDS/FSSI sur la base du
volontariat, via la BAL du FSSI du
ministère des affaires sociales et de la
santé :
ssi@sg.social.gouv.fr
Merci de votre
attention