FAQ : mon incident de sécurité est-il grave ?

Les questions-réponses suivantes peuvent vous aider à déterminer si vous devez ou non signaler votre incident. Elles reprennent en grande partie un article publié sur DSIH disponible ici.

Q: La perte d'accès à Internet ?

R : Si votre établissement utilise uniquement l’accès Internet pour le surf, rien de bien grave, mais les accès Internet ne se limitent bien souvent pas qu’à cela. Que votre messagerie soit hébergée en interne ou non, dans tous les cas, vous perdez ce moyen de communication. Les applications hébergées ne seront plus accessibles, les solutions de télémédecine ou de télémaintenance non plus, les interconnexions avec des sites distants… Bref, les exemples ne manquent pas, la vraie question est de savoir combien de temps votre établissement peut vivre en autarcie totale avant qu’il y ait des conséquences sur la sécurité des soins ou que l’on puisse considérer qu’il y ait une véritable atteinte au fonctionnement normal ? Pour de nombreuses structures, ce sera évidemment le cas après plus de deux heures d’indisponibilité.

Q : Une panne électrique ?

R : Si l’infrastructure physique n’est subitement plus alimentée électriquement, le redémarrage total du système d’information prendra forcément plusieurs heures. À minima, il y aura donc une atteinte à la disponibilité des données, par conséquent une atteinte au fonctionnement normal et potentiellement à la continuité ou la sécurité des soins. Soit trois bonnes raisons de déclarer l’incident.

Q : Une panne de climatisation dans une salle serveur ?

R : Si cette panne nécessite l’arrêt total de l’infrastructure physique de la salle et que la deuxième salle n’est pas en capacité de faire fonctionner la totalité des applicatifs au cœur du processus de soins, il y a donc une atteinte à la disponibilité des données, et potentiellement à la sécurité des soins. Dans ce cas encore, il faut  déclarer.

Q :  Une panne chez mon hébergeur HDS ?

R : Agréé ou certifié, si votre hébergeur HDS n’est plus en capacité de vous fournir l’accès aux données de santé qu’il héberge pour le compte de votre structure, il y a donc atteinte à la disponibilité des données, au fonctionnement normal de votre structure et potentiellement un risque pour vos patients. La déclaration s’avère encore une fois nécessaire. De plus, d’autres structures seront vraisemblablement confrontées aux mêmes conséquences.

Q : La réception d’un message malveillant de type hameçonnage ?

R : Si une personne s’est fait piéger et qu’il y a eu une atteinte à la confidentialité, l’intégrité ou la disponibilité des données suite à cela, il est recommandé de déclarer l’incident. Si votre anti-spam détecte plusieurs centaines de messages par heure contenant un cheval de Troie ou un rançongiciel, même s’il a détecté et bloqué les messages, il est recommandé de déclarer l’incident pour faire remonter l’information à la cellule ACSS et au service du HFDS afin de déterminer s’il est nécessaire de lancer une alerte nationale.

Q : Un logiciel malveillant détecté par mon antivirus ?

R : une alerte de l’antivirus doit attirer l’attention, dans la majorité des cas, si l’antivirus détecte un comportement malveillant, il va interagir dans le processus et stopper la menace, sinon il indiquera la procédure à suivre. Dans ce cas-là, il n’est pas nécessaire de déclarer un incident. En revanche, si plusieurs dizaines de postes remontent la même alarme sur une période de quelques heures, même s’il n’y a pas d’impact sur le système d’information, il est recommandé de signaler l’information afin d’évaluer si l’émission d’une alerte est pertinente. De même, lors de la détection d’une nouvelle souche virale (et il y en a beaucoup avec les cryptovirus), il est aussi recommandé de le déclarer.

Q : Un bug dans une application au cœur du processus de soins ?

R : si ce bug peut avoir un impact sur la sécurité des soins, sur la confidentialité, l’intégrité ou la disponibilité des données, il est recommandé de déclarer l’incident. Cela pourra avoir un impact positif sur les délais de fourniture du correctif par l’éditeur.

Q : Le vol d’un poste de travail de type client léger ?

R : A priori non car ce type d’équipement ne permet pas le stockage permanent d’information et ne peut donc être exploité pour récupérer des données sensibles.

Q : Un personnel non habilité accède à un dossier patient informatisé (suite à un oubli de verrouillage de session) ?

R : Non. En l’absence de fuite d’information dans le domaine public, l’incident doit être traité uniquement au niveau de la structure.

Q : Le système gérant le service de télévision pour les patients tombe en panne.

R : Non car cela n’a aucun impact sur la prise en charge des patients ou sur le fonctionnement normal des activités essentielles de la structure.

Q : Incidents réseaux internes impactant nos sites distants (architecture clients légers)

R : Oui si les sites distants sont contraints de passer en mode dégradé (usage du papier par exemple) dans la prise en charge des patients et le fonctionnement de la structure

Q : Une panne de mon DPI a conduit au déclenchement des procédures de secours.

R : Oui car tout incident concernant les systèmes numériques obligeant la structure à déclencher un mode de fonctionnement dégradé doit être signalé.

Q : Nous avons subi un défacement de notre site internet

R : Oui car il s’agit d’une perte d’intégrité d’informations publiques concernant la structure causée par une action malveillante. Cela peut constituer un signal faible d’une attaque de plus grande ampleur concernant le secteur santé.

 

Si vous avez un doute, n’hésitez pas à déclarer votre incident.