Qu’est-ce que le dispositif de signalement des cyberattaques ?
Objectifs
Les signalements de cyberattaques ont pour objectif de garantir une réaction rapide et coordonnée face à l’incident. Ils permettent également de protéger les systèmes d’information des établissements, tout en facilitant l’accompagnement et l’investigation technique. Par ailleurs, ces signalements contribuent à l’amélioration continue de la sécurité des systèmes d’information de santé.
Qui est concerné ?
Les établissements de santé et médico-sociaux, les centres de radiothérapie ainsi que les laboratoires de biologie ont l’obligation de déclarer les incidents liés à la sécurité informatique.
Cette obligation découle de l'article 110 de la Loi de modernisation de notre système de santé du 26 janvier 2016.
Pourquoi faut-il signaler ?
Signaler un incident de cybersécurité permet de limiter la propagation et l'impact des cyberattaques. Cela permet également d'informer les autorités compétentes afin d'assurer une meilleure réponse coordonnée. De plus, cela offre la possibilité de bénéficier d'un accompagnement adapté par l'Agence régionale de santé (ARS) Auvergne-Rhône-Alpes et les services spécialisés.
Cyberattaque : comment réaliser un signalement ?
Etape 1 : Identifier l’incident
Dès qu'une suspicion d'incident de cybersécurité est détectée (logiciels malveillants, phishing, compromission de données, etc.), une analyse doit être réalisée en interne pour évaluer son ampleur et son impact.
L’ARS Auvergne-Rhône-Alpes a financé un marché de Prestation de Réponse à Incident de Sécurité (PRIS), à travers un groupement de commande porté par le GCS SARA.
Etape 2 : Alerter
Les établissements doivent signaler tout incident sur le portail de signalement des événements sanitaires indésirables (social-sante.gouv.fr). Le signalement est ensuite transmis à l’ARS Auvergne-Rhône-Alpes et à l’ANS pour prise en compte des impacts de l’incident sur le fonctionnement de l’établissement.
Ils doivent également informer :
- Le CERT-Santé, service d’appui à la gestion des cybermenaces, disponible 7j/t, 24h/24h. Le CERT-Santé offre un accompagnement et un suivi dans le traitement de l’incident cyber et propose également son aide dans le processus de renforcement des mesures de sécurité, en phase post-incident.
- La CNIL en cas de violation de données personnelles : La notification doit être effectuée dans les 72 heures à compter de la découverte de l’incident. En cas de risque élevé pour les personnes physiques, la notification aux personnes concernées par la violation doit se faire dans les meilleurs délais.
- La gendarmerie ou la police pour d'éventuelles actions judiciaires : Outils de diagnostic - Assistance aux victimes de cybermalveillance
En cas d’événement grave, c’est-à-dire un incident critique à fort impact, un appel téléphonique au Point Focal Régional (PFR) doit compléter le signalement sur le portail, afin de permettre une réaction plus rapide.
Coordonnées du PFR Auvergne-Rhône-Alpes
Les équipes sont joignables 7 jours sur 7, 24 heures sur 24 :
📧 ars69-alerte@ars.sante.fr
📞0 800 32 42 62
Etape 3 : Mettre en place des mesures
Une fois l'incident signalé, les établissements doivent appliquer les mesures préconisées par les autorités pour contenir et résoudre la cyberattaque.
Comment sont traités vos signalements ?
Les signalements sont analysés par les services de l'ARS Auvergne-Rhône-Alpes en coordination avec l'ANSSI et d'autres acteurs de la cybersécurité. Une assistance technique peut être mise en place pour accompagner les établissements dans la gestion de l'incident.
Traitement des données collectées
Les informations collectées lors du signalement sont traitées dans le respect du RGPD. Elles ne sont utilisées que pour la gestion des incidents et la mise en place d'actions correctives.