Accompagnement Cybersécurité des Structures de Santé (ACSS) : un an après, quel bilan ?

Le ministère des solidarités et de la santé a mis en place, depuis le 1er octobre 2017, un dispositif de traitement des signalements des incidents de sécurité des systèmes d’information (SSI) des établissements de santé et des organismes et services exerçant des activités de prévention, de diagnostic ou de soins.
 
Il s’agit là d’un élément clé de la stratégie d’amélioration du niveau de sécurité numérique du secteur santé portée par le ministère des solidarités et de la santé, en coordination étroite avec les autorités gouvernementales en charge de la cyber sécurité.
 
Le FSSI des ministères sociaux est chargé d’assurer le pilotage de ce dispositif. Avec l’ASIP Santé, il apporte un appui aux ARS et aux structures concernées, au travers d’une structure nationale d’assistance et d’appui appelée « Cellule Accompagnement Cybersécurité des Structures de Santé » (ACSS). 

Elle mène à ce titre trois activités opérationnelles :

  1. Traitement des signalements d’incidents de sécurité numérique et accompagnement des structures de santé dans leur démarche ;
  2. Animation quotidienne d'un portail de veille et d’échange sur l’actualité de la sécurité des systèmes d’information et sur les menaces propres au secteur de la santé ;
  3. Mise à disposition d’un espace sécurisé d’échanges pour les correspondants via le portail cyberveille-sante.gouv.fr.

Après une année d'existence, un premier bilan des activités de la cellule ACSS peut-être dressé :

  • 319 déclarations d’incidents ont été recueillies pour cette première année sur le Portail de signalement des événements sanitaires indésirables, dont 41 ont fait l'objet d'une demande d'accompagnement ;
  • 86% des signalements sont issus des établissements de santé ;
  • 43% des incidents ont un impact sur des informations patient à caractère personnel et 11% d'entre eux ont ou auraient pu entraîner une mise en danger de la vie des patients ;
  • 47 % des incidents signalés ont une origine malveillante avec comme vecteurs d'attaques principaux le courrier électronique et le logiciel malveillant.

Si les chiffres ne reflètent pas encore la réalité des menaces existantes, ils s'expliquent par le fait que toutes les structures de santé ne sont pas encore bien informées de l'obligation de signalement qui leur incombent ou hésitent encore à le faire par peur d'un préjudice lié à leur image.

Il est important de déclarer son incident, non seulement pour bénéficier d’un appui, mais aussi pour permettre à la cellule ACSS d’alerter si nécessaire l’ensemble des acteurs du secteur sur l’état de la menace et de proposer des mesures de protection afin de limiter les impacts d’un incident à grande échelle.

Vous trouverez en liens ci-dessous le Rapport public de l’observatoire des signalements d’incidents ainsi qu'un bilan annuel des activités de la cellule ACSS présenté le 19 octobre 2018 à l'occasion du 4ème colloque sur la sécurité des systèmes d’information du ministère des solidarités et de la santé.