02 44 76 13 90
Vous accompagner vers de nouveaux usages en santé !
Site officiel GCS e-santé Pays de la Loire

A partir du 1er octobre 2017, le signalement des incidents graves de sécurité du SI devient obligatoire pour les établissements de santé, les laboratoires de biologie médicale et les centres de radiothérapie.


Le dispositif de signalement des incidents graves de sécurité du SI


Les incidents graves de sécurité du SI à signaler sans délai sont ceux qui ont des conséquences :

  • potentielles ou avérées sur la sécurité des soins ;
  • sur la disponibilité, l’intégrité ou la confidentialité des données de santé ;
  • sur le fonctionnement normal de l’établissement.
Le portail Cyberveille propose une aide au signalement d'un incident : cliquez ici.

D’une façon plus générale, il est recommandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données.

La déclaration s’effectue via le portail national des signalements par le directeur de la structure ou la personne désignée à cet effet : https://signalement.social-sante.gouv.fr en sélectionnant "Vous êtes un professionnel de santé" puis "Incident de sécurité des systèmes d'information".
Portail signalementSi le signalement est effectué en heures non ouvrées (au-delà de 18h) ou jours non ouvrés et que le déclarant estime, au regard des impacts constatés et de l’évolution de l’incident de sécurité, avoir besoin d’une aide à la gestion de l’incident dans les plus brefs délais il doit, en parallèle du signalement sur le portail, en informer le FSSI des Ministères sociaux à l'adresse ssi[@]sg.social.gouv.fr.

Signalement des incidents graves de sécurité des SI en Pays de la Loire
A noter qu'en cas de violation de données à caractère personnel, une déclaration auprès de la CNIL reste nécessaire.

Plus d'informations : Fiche
"dispositif de traitement des incidents graves de sécurité des systèmes d'information dans le secteur santé"



Mise en place de boîtes de messagerie fonctionnelles dédiées à la Sécurité des SI au sein des structures :

Afin de faciliter les échanges avec les structures et que la chaîne fonctionnelle cybersécurité du secteur santé soit la plus efficace possible, l'ARS Pays de la Loire demande la création de boîtes de messagerie dédiées à la SSI. Quelques bonnes pratiques :
  • Faire simple : "ssi@structure.fr" si vous disposez de votre propre nom de domaine ; "ssi-structure@nomdedomaine.fr" si ce n'est pas le cas.
  • Efficace : donnez accès ou redirigez les messages de cette boite vers les bonnes personnes que vous jugerez utiles : rSSI/RSSI, DSI, RSI, cadre d'astreinte, directeur, prestataire...
  • Faciliter le processus : limitez autant que possible la réception de messages d'absence aux expéditeurs.
  • Faire opérationnel : paramétrez vos antispams de manière à recevoir les messages émanant des domaines sg.social.gouv.fr, sante.gouv.fr, ars.sante.fr, esante-paysdelaloire.fr, etc. et que ces derniers n'aient pas à affronter les captchas...
Cette adresse fonctionnelle est à communiquer à SSI-PDL[@]ars.sante.fr et sera à entrer dans oSIS pour les structures disposant d'un accès.



Contact :

Auriane