Incidents de cybersécurité : les établissements médico-sociaux doivent aussi déclarer

Le décret n° 2022-715, tout juste publié au Journal officiel, étend aux établissements médico-sociaux les obligations de signalement des incidents de cybersécurité prévues depuis 2016 et en vigueur depuis le 1^eroctobre 2017 – pour les établissements non désignés opérateur d’importance vitale (OIV) ou de services essentiels (OSE). Au passage, l’éventail des incidents devant être signalés – toujours « sans délai » – est étendu, de même que le rôle des groupements d’intérêt public destinataires des notifications.

La prise en compte de la dimension potentiellement systémique de certains incidents apparaît quant à elle renforcée. Les incidents susceptibles d’affecter « l’organisation départementale, régionale ou nationale du système de santé » sont désormais ramenés aux côtés des autres incidents considérés comme « significatifs ou graves ».

Qu’ils soient significatifs ou graves, les incidents doivent être signalés aux groupements d’intérêt public (GIP) chargés du développement des SI de santé partagés. Ces GIP doivent assurer l’analyse des incidents qui leur sont signalés, mais également aider les agences régionales de santé ou encore appuyer « la prévention des incidents en organisant les retours d’expérience au niveau national » et proposer des mesures « d’aide au traitement des incidents ».

Surtout, ces GIP doivent désormais assurer « l’appui de la structure déclarant l’incident ». Cela peut passer par « des recommandations et notamment proposer des mesures d’urgence pour limiter l’impact » de l’incident, et « des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés ». En outre, les GIP assurent « la relation avec l’Agence nationale de sécurité des systèmes d’information [Anssi], notamment en cas d’incident concernant un opérateur de service essentiel ou qui pourrait avoir un impact de portée nationale ».

Le GIP est également doté d’un rôle préventif et doit être « informé sans délai de la résolution des incidents » par les établissements affectés. Les détails devant être fournis par les victimes au passage, et précisés.

Ce décret concernant le monde de la santé survient quelques semaines après la publication d’un autre, concernant les administrations et établissements publics de l’État. Publié au Journal officiel du 8 avril, ce dernier entrera en vigueur début octobre et « fixe les règles de gouvernance de la sécurité numérique au sein des administrations et de l’État et des établissements publics sous sa tutelle ». Il précise le décret 2019-1088 du 25 octobre 2019 et oblige notamment chaque ministre à désigner « un fonctionnaire de sécurité des systèmes d’information chargé de l’assister dans l’exercice de sa responsabilité en matière de sécurité numérique ». Celui-ci doit s’assurer « de l’application cohérente […] des orientations générales et des règles de sécurité numérique relatives aux systèmes d’information et de communication ». Mais c’est également lui qui devra signaler les éventuels incidents à l’Anssi.