Publication d’un arrêté relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information

Un arrêté du 30 octobre 2017 précise les modalités de signalement et de traitement des incidents graves de sécurité  des systèmes d’information dans le cadre du dispositif de traitement des signalements des incidents de sécurité des systèmes d’information dans le secteur santé .

Cet arrêté apporte des précisions sur :

  1. Le formulaire de déclaration d’un incident grave de sécurité

Le formulaire de déclaration permet au déclarant de fournir toutes les informations dont il dispose au moment de la découverte de l'incident. Il comporte les informations suivantes :

  • les informations permettant d'identifier la structure concernée par l'incident ainsi que le déclarant ;
  • la description de l'incident, notamment la date du constat, le périmètre de l'incident, les systèmes d'information et données concernées et l'état de la prise en charge ;
  • la description de l'impact de l'incident sur les données, sur les personnes, sur les systèmes d'information et sur la structure ;
  • les causes de l'incident, si celles-ci sont identifiées.
  1. Le périmètre des personnes ayant accès aux déclarations de signalement

Les déclarations reçues sur le portail de signalement des évènements sanitaires indésirables sont transmises à l'agence régionale de santé compétente et à l'agence des systèmes d'information partagés de santé, qui en informe les personnes mentionnées à l'article D.1111-16-3 du code de la santé publique.

  1. La qualification des incidents de sécurité

L'agence régionale de santé compétente s'appuie sur l'agence des systèmes d'information partagés de santé qui analyse la déclaration et qualifie les incidents signalés pour son compte.
La structure concernée par l'incident est informée de la prise en compte et de l'analyse de son signalement par l'agence des systèmes d'information partagés de santé.
L'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente peuvent demander à la structure concernée par l'incident toute information complémentaire permettant la qualification de l'incident et la mise en place d'une réponse adaptée.
A la demande de la structure concernée par l'incident, l'agence des systèmes d'information partagés de santé et l'agence régionale de santé compétente l'accompagnent dans la gestion de l'incident. Elles peuvent formuler des recommandations et notamment proposer des mesures d'urgence pour limiter l'impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d'information concernés.

  1. Les finalités du traitement

Le traitement des incidents de sécurité des systèmes d’information a pour finalités :

  • Le recueil, l'analyse et, le cas échéant, la qualification et la transmission des signalements des incidents de sécurité aux agences ou aux autorités compétentes de l'Etat ;
  • La mise en œuvre d'un service d'information et d'accompagnement des établissements de santé, des organismes et services exerçant des activités de prévention, de diagnostic ou de soins, des agences régionales de santé et des autorités compétentes de l'Etat, concernant la prévention et la gestion des incidents de sécurité, ainsi que la sécurité des systèmes d'information.
  1. Le rôle des agences régionales de santé

Les déclarations transmises à l'agence régionale de santé compétente sont enregistrées dans le système d'information prévu à cet effet par celle-ci. Au sein de l'agence régionale de santé compétente, ces déclarations sont directement accessibles au personnel habilité par le directeur général de l'agence régionale de santé.
L'agence régionale de santé prend les mesures nécessaires pour faire face aux conséquences éventuelles d'un incident grave de sécurité des systèmes d'information sur l'offre de soins de son territoire.