Signalement des incidents SSI
Depuis octobre 2017, le signalement des incidents graves de sécurité du SI est obligatoire pour les établissements de santé, les laboratoires de biologie médicale et les centres de radiothérapie. Depuis fin 2020, les structures médico-sociales sont également concernées.
Les incidents graves de sécurité du SI à signaler sans délai sont ceux qui ont des conséquences :
- potentielles ou avérées sur la sécurité des soins,
- sur la disponibilité, l’intégrité ou la confidentialité des données de santé,
- sur le fonctionnement normal de l’établissement.
Le portail Cyberveille propose une aide au signalement d'un incident : signalez.
D’une façon plus générale, il est recommandé que les structures signalent toute action ou suspicion d’action malveillante causant une indisponibilité partielle ou totale de systèmes d’information, une altération ou une perte de données.
La déclaration s’effectue via le portail national des signalements par le directeur de la structure ou la personne désignée à cet effet : https://signalement.social-sante.gouv.fr en sélectionnant "Vous êtes un professionnel de santé" puis "Incident de sécurité des systèmes d'information".
Si le signalement est effectué en heures non ouvrées (au-delà de 18h) ou jours non ouvrés et que le déclarant estime, au regard des impacts constatés et de l’évolution de l’incident de sécurité, avoir besoin d’une aide à la gestion de l’incident dans les plus brefs délais il doit, en parallèle du signalement sur le portail, en informer le FSSI des Ministères sociaux à l'adresse ssi@sg.social.gouv.fr (mettre ssi@esante-paysdelaloire.fr en copie).