Actualités de l'Urgence - APM
CYBERSÉCURITÉ: LES RÈGLES DE SÉCURITÉ DES ÉTABLISSEMENTS DE SANTÉ "OPÉRATEURS D'IMPORTANCE VITALE" FIXÉES PAR ARRÊTÉ
Les établissements de santé sont désignés opérateurs d'importance vitale (OIV) et la liste exacte est classifiée au titre du "secret de la défense nationale", rappelle-t-on.
Les OIV sont définis par le code de la défense comme des opérateurs "dont le dommage ou l'indisponibilité ou la destruction […] risquerait, directement ou indirectement, d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population", rappelle-t-on également.
À compter de leur désignation comme OIV, les établissements sont soumis au cadre réglementaire des lois de programmation militaire, avec des critères de sécurité informatique plus élevées que celles incombant aux établissements désignés opérateurs de service essentiels (OSE).
L'arrêté publié au JO dimanche fixe ces règles. Il entrera en vigueur le 1er juillet 2023.
Dans le détail, le texte et ses quatre annexes fixent:
- les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (SI) (annexe I)
- les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II)
- les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des SI (Anssi) la liste de leurs SI d'importance vitale identifiés par types de système (annexe III)
- ainsi que les modalités selon lesquelles les opérateurs déclarent à l'Anssi certains types d'incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Ainsi, "dans un délai de trois mois à compter de la date d'entrée en vigueur" de l'arrêté ou de sa désignation comme OIV, l'établissement de santé doit adresser par courrier à l'Anssi la liste des SI d'importance vitale, "ainsi que pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr)".
"Pour déterminer si un SI peut être qualifié d'importance vitale […], l'OIV mène une analyse d'impacts sur ses SI […]." Lorsque, pour un type de SI, l'opérateur n'en déclare aucun d'importance vitale, "il en précise les raisons".
En outre, l'opérateur d'importance vitale communique une fois par an à l'Anssi les mises à jour de sa liste et des formulaires de déclaration. "Il déclare tout nouveau SI d'importance vitale préalablement à sa mise en service et tout SI qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions."
Il informe sans délai l'Anssi de tout retrait de sa liste d'un des systèmes précédemment déclarés "et en précise les raisons".
Tout établissement de santé désigné OIV doit aussi déclarer chaque incident qui relève d'un type affectant la sécurité ou le fonctionnement de ses SI. Pour cela, il doit adresser à l'Anssi le formulaire de déclaration disponible sur le site internet de l'agence "selon le moyen approprié à la sensibilité des informations déclarées".
Il doit également communiquer à l'Anssi les coordonnées de la personne chargée de le représenter dans un délai de trois mois à compter de l'entrée en vigueur de l'arrêté (le 1er juillet) ou de sa désignation comme OIV.
Le détail de chaque règle figure dans les annexes publiées dans l'arrêté.
Les règles pour les opérateurs de "veille et alertes sanitaires" également fixées
Un deuxième arrêté publié dimanche concerne plus spécifiquement le sous-secteur d'activités d'importance vitale "veille et alerte sanitaires".
Ce texte entrera également en vigueur le 1er juillet 2023 et il est aussi doté de quatre annexes.
À l’instar du premier arrêté, il fixe les règles de sécurité que les OIV "veille et alertes sanitaires" sont tenus de respecter pour protéger leurs SI (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Anssi la liste de leurs SI d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Les délais sont les mêmes: trois mois, à compter de la date d'entrée en vigueur de l'arrêté ou de sa désignation comme OIV. Il communique aussi "une fois par an" à l'Anssi les mises à jour de sa liste et des formulaires de déclaration et recourt aux formulaires sur le site de l'agence pour déclarer ses incidents.
Il doit également désigner et communiquer les coordonnées de la personne chargée d'échanger avec l'Anssi.
(Journal officiel, dimanche 23 avril, textes 3 et 4)
wz/ab/APMnews
Informations professionnelles
- AFMU
- Agenda
- Annonces de postes
- Annuaire de l'urgence
- Audits
- Calculateurs
- Cas cliniques
- Cochrane PEC
- Consensus
- Consensus SFMU
- COVID-19
- DynaMed
- E-learning
- Géodes
- Grand public
- Librairie
- Médecine factuelle
- Outils professionnels
- Portail de l'urgence
- Recherche avancée
- Référentiels SFMU
- Textes réglementaires
- UrgencesDPC
- Webinaire
- Weblettre
CYBERSÉCURITÉ: LES RÈGLES DE SÉCURITÉ DES ÉTABLISSEMENTS DE SANTÉ "OPÉRATEURS D'IMPORTANCE VITALE" FIXÉES PAR ARRÊTÉ
Les établissements de santé sont désignés opérateurs d'importance vitale (OIV) et la liste exacte est classifiée au titre du "secret de la défense nationale", rappelle-t-on.
Les OIV sont définis par le code de la défense comme des opérateurs "dont le dommage ou l'indisponibilité ou la destruction […] risquerait, directement ou indirectement, d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation; ou de mettre gravement en cause la santé ou la vie de la population", rappelle-t-on également.
À compter de leur désignation comme OIV, les établissements sont soumis au cadre réglementaire des lois de programmation militaire, avec des critères de sécurité informatique plus élevées que celles incombant aux établissements désignés opérateurs de service essentiels (OSE).
L'arrêté publié au JO dimanche fixe ces règles. Il entrera en vigueur le 1er juillet 2023.
Dans le détail, le texte et ses quatre annexes fixent:
- les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (SI) (annexe I)
- les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II)
- les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des SI (Anssi) la liste de leurs SI d'importance vitale identifiés par types de système (annexe III)
- ainsi que les modalités selon lesquelles les opérateurs déclarent à l'Anssi certains types d'incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Ainsi, "dans un délai de trois mois à compter de la date d'entrée en vigueur" de l'arrêté ou de sa désignation comme OIV, l'établissement de santé doit adresser par courrier à l'Anssi la liste des SI d'importance vitale, "ainsi que pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr)".
"Pour déterminer si un SI peut être qualifié d'importance vitale […], l'OIV mène une analyse d'impacts sur ses SI […]." Lorsque, pour un type de SI, l'opérateur n'en déclare aucun d'importance vitale, "il en précise les raisons".
En outre, l'opérateur d'importance vitale communique une fois par an à l'Anssi les mises à jour de sa liste et des formulaires de déclaration. "Il déclare tout nouveau SI d'importance vitale préalablement à sa mise en service et tout SI qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions."
Il informe sans délai l'Anssi de tout retrait de sa liste d'un des systèmes précédemment déclarés "et en précise les raisons".
Tout établissement de santé désigné OIV doit aussi déclarer chaque incident qui relève d'un type affectant la sécurité ou le fonctionnement de ses SI. Pour cela, il doit adresser à l'Anssi le formulaire de déclaration disponible sur le site internet de l'agence "selon le moyen approprié à la sensibilité des informations déclarées".
Il doit également communiquer à l'Anssi les coordonnées de la personne chargée de le représenter dans un délai de trois mois à compter de l'entrée en vigueur de l'arrêté (le 1er juillet) ou de sa désignation comme OIV.
Le détail de chaque règle figure dans les annexes publiées dans l'arrêté.
Les règles pour les opérateurs de "veille et alertes sanitaires" également fixées
Un deuxième arrêté publié dimanche concerne plus spécifiquement le sous-secteur d'activités d'importance vitale "veille et alerte sanitaires".
Ce texte entrera également en vigueur le 1er juillet 2023 et il est aussi doté de quatre annexes.
À l’instar du premier arrêté, il fixe les règles de sécurité que les OIV "veille et alertes sanitaires" sont tenus de respecter pour protéger leurs SI (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Anssi la liste de leurs SI d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs SI (annexe IV).
Les délais sont les mêmes: trois mois, à compter de la date d'entrée en vigueur de l'arrêté ou de sa désignation comme OIV. Il communique aussi "une fois par an" à l'Anssi les mises à jour de sa liste et des formulaires de déclaration et recourt aux formulaires sur le site de l'agence pour déclarer ses incidents.
Il doit également désigner et communiquer les coordonnées de la personne chargée d'échanger avec l'Anssi.
(Journal officiel, dimanche 23 avril, textes 3 et 4)
wz/ab/APMnews