La France dévoile son plan d’action sur la sécurité des systèmes d’information dans le secteur de la santé
Le 14 octobre 2016, la ministre des affaires sociales et de la santé a rendu une instruction relative à la mise en œuvre du « plan d’action sur la sécurité des systèmes d’information » dans le secteur de la santé. Cette instruction a pour but d’assurer une mise à niveau minimale et harmonisée de la sécurité des systèmes information dans les établissements de santé, les laboratoires de biologie médicale, les centres de radiothérapie et les centres d’imagerie et de radiologie publics et privés.
Le texte rappelle que sur le deuxième trimestre 2016, près de 90% des attaques ransomware dans le monde ont visé des établissements de santé et que ces incidents informatiques pouvaient avoir un impact substantiel dans la sécurité des soins ainsi que, de manière plus générale, des conséquences économiques importantes.
Cette instruction prévoit des directives spécifiques et un calendrier de mise en œuvre du plan d’action à l’attention des directeurs généraux des Agences régionales de santé qui sont en charge de la mise en œuvre de ces mesures de sécurité. Ces mesures sont divisées en trois niveaux et devront être mises en œuvre respectivement dans les prochains 6, 12 et 18 mois. Les mesures listées dans le niveau 1 prévoient l’installation d’antivirus, le recours à des mots de passe robustes et leur renouvellement périodique ainsi que la mise en œuvre de sauvegardes effectuées de façon régulière. Ce niveau met en place un cadre de sécurité minimum dans les établissements de santé. Les mesures prévues dans les niveaux 2 et 3 ont pour but d’assurer la sécurité des comptes des utilisateurs, de l’accès aux réseaux sans fil, le cloisonnement des systèmes d’information et la réalisation d’audits relatifs aux risques des systèmes d’information.
Ce plan d’action complète la politique générale de sécurité des systèmes d’information de Santé (PGSSI-S) qui prévoit des principes de sécurité dans le secteur médical et de la santé (tels que la disponibilité, la confidentialité, l’intégrité et la traçabilité des données de santé). De telles mesures s’inscrivent dans le cadre mis en place par deux arrêtés ministériels publiés respectivement le 1 octobre 2015 (PSSI-MCAS) et le 17 juillet 2014 (PSSIE) qui fixent une politique générale de sécurité des systèmes d’information de l’Etat.
Les professionnels, ayant des activités en France dans le domaine de la santé, devraient saisir cette opportunité et prendre en compte les mesures mentionnées pour évaluer leurs propres niveaux de sécurité.
Contacts
Olivier Haas
Paris
+33.1.56.59.38.84
ohaas@jonesday.com
Cristiana Spontoni
Brussels
+32.2.645.14.48
cspontoni@jonesday.com
Daniel J. McLoon
Los Angeles
+1.213.243.2580
djmcloon@jonesday.com
Mauricio F. Paez
New York
+1.212.326.7889
mfpaez@jonesday.com
Hatziri Minaudier, collaboratrice du bureau de Paris, a contribué à la rédaction de cette alerte.
Les Jones Day Alertes sont une publication de Jones Day qui ne constitue pas un con-seil ou une assistance juridique sur des faits ou circonstances particuliers. Le contenu des Jones Day Alertes est destiné uniquement à des fins d’information générale et ne peut en aucun cas être reproduit ou mentionné dans touté autre publication ou procédure sans l’accord écrit et préalable du cabinet Jones Day ; cet accord pouvant être accordé ou retiré à la discrétion du cabinet Jones Day. Tant l’envoi que la réception de cette publication ne saurait créer de relations entre le cabinet Jones Day et le destinataire de ladite publication.