Sécurité informatique : publication par arrêté du formulaire de déclaration des incidents

Informatique de santé

Biologiste infos
Crédit photo : gorodenkoff-istock

Le formulaire de déclaration des incidents graves de sécurité des systèmes d’information affectant les structures de santé a été publié dans un arrêté mercredi 8 novembre au Journal officiel.

La loi du 26 janvier 2016 a renforcé le dispositif d’alerte en cas d’atteintes aux systèmes informatiques des établissements de santé, des hôpitaux des armées, des laboratoires de biologie médicale et des centres de radiothérapie. Depuis le 1er octobre 2017, ces structures sont tenues de relayer à leur agence régionale de santé (ARS) les incidents de sécurité « graves » et « significatifs » sur leurs systèmes d’information de santé.

Un décret publié en septembre 2016 a détaillé les catégories d’incidents devant faire l’objet d’un signalement sur le site www.signalement.social-sante.gouv.fr. Les informations que doit contenir le formulaire portent sur la date de l’incident, son périmètre, son suivi, ses impacts sur la sécurité de la structure et celle de ses données, et son origine.

À réception de la déclaration, l’ARS compétente « s’appuie sur l’agence des systèmes d’information partagés de santé [Asip santé] qui analyse la déclaration et qualifie les incidents signalés pour son compte ». L’ARS pourra alors, avec l’Asip santé, « formuler des recommandations et notamment proposer des mesures d’urgence » pour limiter l’impact de l’incident, « des mesures de remédiation » et des « mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés ».

Formulaire Incidents informatiques

Télécharger l'article en PDF

La rédaction avec l'APM