Sécurité informatique : publication par arrêté du formulaire de déclaration des incidents

La loi du26 janvier 2016 a renforcé le dispositif d’alerte en cas d’atteintes auxsystèmes informatiques des établissements de santé, des hôpitauxdes armées, des laboratoires de biologie médicale et des centres deradiothérapie. Depuis le 1er octobre 2017, ces structures sont tenuesde relayer à leur agence régionale de santé (ARS) les incidents desécurité « graves » et « significatifs » sur leurs systèmes d’informationde santé.

Un décret publié en septembre 2016 a détaillé les catégoriesd’incidents devant faire l’objet d’un signalement sur le site www.signalement.social-sante.gouv.fr. Les informations que doitcontenir le formulaire portent sur la date de l’incident, son périmètre,son suivi, ses impacts sur la sécurité de la structure et celle de sesdonnées, et son origine.

À réception de la déclaration, l’ARS compétente« s’appuie sur l’agence des systèmes d’information partagés de santé[Asip santé] qui analyse la déclaration et qualifie les incidents signaléspour son compte ». L’ARS pourra alors, avec l’Asip santé, « formulerdes recommandations et notamment proposer des mesures d’urgence »pour limiter l’impact de l’incident, « des mesures de remédiation » etdes « mesures destinées à améliorer la sécurité du ou des systèmesd’information concernés ».