Cybersécurité : un mémento pour les établissements de santé

MACSF Exercice Professionnel
Notre expertise sur la responsabilité médicale
       et votre exercice professionnel

Cybersécurité : un mémento pour les établissements de santé

  • Réduire le texte de la page
  • Agrandir le texte de la page
  • Facebook
  • Twitter
  • Messages0
  • Imprimer la page
  • Cybersécurité

« Connaître vos risques pour mieux y faire face ». Tel est l’intitulé du mémento sur la cybersécurité publié par la Direction Générale de l’Offre de Soins (DGOS) en fin d’année 2017.

  • Pharmacien
  • Vétérinaire
  • Médecin généraliste et urgentiste
  • Chirurgien-dentiste
  • Sage-femme
  • Etablissement de santé
  • Interne
  • Infirmier
  • Masseur-kinésithérapeute
  • Autres paramédicaux
  • Médecin spécialiste
Auteur : Delphine ROUSSEL, Juriste / MAJ : 20/03/2018

Le contexte

Il est principalement destiné aux Directions (Directeur, Président de la CME, Directeur des soins, DRH, …) des établissements de santé, publics comme privés pour "les éclairer sur la sécurité des systèmes d’information, ses enjeux, le contexte réglementaire et les actions clés à réaliser". Toutefois selon les termes de la DGOS, « il peut être lu par l’ensemble des professionnels de santé et des cadres de ces établissements ».

La DGOS y insiste sur la nécessité de sécuriser les systèmes d’information (SI) des établissements de santé publics, comme privés, "afin de maintenir la confiance des patients dans le système de santé" et des professionnels dans les outils utilisés.

En plein chantier des groupements hospitaliers de territoire (GHT) qui implique notamment la mutualisation des systèmes d’information, les directeurs des établissements sont invités à "installer une démarche de gestion du risque numérique", en analysant les situations à risques.

1- Pourquoi une démarche de gestion du risque numérique ?

  • Le numérique est omniprésent
  • L’informatisation croissante de la prise en charge du patient rend celle‐ci vulnérable à tout incident impactant le système d’information.
  • Un immense potentiel d’information.
  • L’émergence de risques nouveaux et évolutifs 
  • Evaluer et traiter les risques
  • Garantir la sécurité des patients

2- Qui est concerné par la cybersécurité ?

Tout le monde.

3- Qu’est‐ce qu’un risque ?

Un scénario qui combine :

  • Un événement redouté
  • Une ou plusieurs menaces.
  • On estime son niveau par :
    • Sa gravité (hauteur des impacts)
    • Sa vraisemblance (possibilité qu'il se réalise)

Tout établissement de santé doit disposer d’une cartographie des risques liés à son système d’information.

4- Quel cadre pour la protection des données de santé ?

  • Le règlement européen du 27 avril 2016 définit la notion de données de santé : "données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne".

Ce texte entrera en vigueur le 25 mai 2018

  • Les modalités d’hébergement de données de santé à caractère personnel sont encadrées par l’article L.1111‐8 du code de la santé publique issu de l’ordonnance n° 2017‐27 du 12 janvier 2017 relative à l’hébergement de données de santé à caractère personnel.

5 - Quelles obligations en termes de cybersécurité pour les établissements à partir de 2018 ?

  • Tout nouvel hébergeur de données de santé doit suivre une procédure de certification accrédité par le COFRAC (comité français d’accréditation).
  • Désigner un délégué à la protection des données personnelles (RSSI : référent ou responsable sécurité du système d’information). Ses missions :
    • Servir de référent sur les questions de protection des données personnelles
    • Piloter la gouvernance des données personnelles
    • Protéger les droits fondamentaux des personnes physiques.
  • Depuis le 1er octobre 2017 signaler tout incident de sécurité sur les systèmes d’information à la CNIL dans les 72 heures, ainsi qu’aux personnes concernées si cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne.
    • Sont concernés les incidents graves de sécurité ayant des conséquences potentielles ou avérées sur la sécurité des soins, sur la disponibilité, l’intégrité ou la confidentialité des données de santé, sur le fonctionnement normal de l’établissement.
  • Mettre en place, promouvoir, soutenir une organisation de gestion des risques :
    • Etablir des référentiels de bonnes pratiques pour minimiser les risques,
    • Rédiger un document de politique de sécurité des systèmes d’information à usage interne,
    • Mener des actions de sensibilisation et d’incitation,
    • Mettre en place des procédures de contrôle.

6- Création d’une cellule de soutien aux établissement de santé

Le décret n° 2016-1214 du 12 septembre 2016 crée une cellule d’accompagnement pour les établissements confrontés à des incidents graves de sécurité : cellule ACSS (accompagnement cybersécurité des structures de santé) :

  • Dédiée à l’accompagnement et l’appui au traitement,
  • Chargée de la veille et de l’information sur l’actualité de la sécurité des systèmes d'information de santé, les menaces sectorielles et les bonnes pratiques via un portail dédié.

0 Commentaire

Publier un commentaire