C’est la loi de modernisation de notre système de santé de 2016 qui a renforcé le dispositif d’alerte en cas d’atteintes aux systèmes informatiques des établissements de santé, des hôpitaux des armées, des laboratoires de biologie médicale et des centres de radiothérapie. Elle impose à partir d’octobre 2017 que ces structures relaient à leur agence régionale de santé (ARS) les incidents de sécurité graves et significatifs survenant sur leurs systèmes d’information de santé. Un décret de septembre 2016 a, par ailleurs, détaillé les catégories d’incidents qui doivent faire l’objet d’un signalement sur le site www.signalement.social-sante.gouv.fr.
Cette déclaration doit se faire via un formulaire dont le contenu vient d’être dévoilé dans un arrêté. Les informations demandées dans le formulaire portent sur la date de l’incident, son périmètre, son suivi, ses impacts sur la sécurité de la structure et celle de ses données, et son origine.
À réception de la déclaration, l’ARS informe l’Agence des systèmes d’information partagés de santé (Asip santé) qui analyse la déclaration et qualifie les incidents signalés. L’ARS pourra alors, avec l’assistance de l’Asip santé, formuler des recommandations, notamment proposer des mesures d’urgence pour limiter l’impact de l’incident et des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés.
Professionnels de santé : formulaire de déclaration des incidents informatiques