Une instruction du 23 mai apporte des précisions au décret du 27 avril 2022 relatif au traitement des incidents significatifs ou graves de sécurité des systèmes d'information, pris en application d'une ordonnance du 18 novembre 2020, qui élargit l'obligation de déclaration de ce type d'incident aux établissements médico-sociaux.
Parmi les incidents à déclarer, ceux susceptibles de toucher d'autres établissements, organismes ou services doivent l'être « notamment en cas d’attaque pouvant se propager vers d’autres entités soit par rebond depuis l’établissement touché soit à la suite d’un incident provoqué par un sous-traitant victime d’une attaque et fournissant des services à plusieurs établissements », détaille le texte.
L'Agence du numérique en santé (ANS), auprès de qui les signalements sont effectués, dispose d'une astreinte hors heures ouvrées pour accompagner les déclarants « confrontés à un incident majeur ayant déjà affecté un ou plusieurs services numériques et contraignant l'établissement à mettre en place un mode dégradé de fonctionnement de ses activités ».
Les modalités de déclaration sur le site de l'ANS, de même que l'obligation de déclaration à la Commission nationale de l'informatique et des libertés (Cnil) en cas d'indisponibilité, de vol ou de perte de données de santé, demeurent inchangées.
À lire également :