Oui car il s’agit d’une perte d’intégrité d’informations publiques concernant la structure causée par une action malveillante. Cela peut constituer un signal faible d’une attaque de plus grande ampleur concernant le secteur santé.
FAQ
Nous avons subi un défacement de notre site internet
Une panne de DPI a conduit au déclenchement des procédures de secours
Oui car tout incident concernant les systèmes numériques obligeant la structure à déclencher un mode de fonctionnement dégradé doit être signalé.
Incidents réseaux internes impactant nos sites distants
Oui si les sites distants sont contraints de passer en mode dégradé (usage du papier par exemple) dans la prise en charge des patients et le fonctionnement de la structure.
Une panne de climatisation dans une salle serveur
Si cette panne nécessite l’arrêt total de l’infrastructure physique de la salle et que la deuxième salle n’est pas en capacité de faire fonctionner la totalité des applicatifs au cœur du processus de soins, il y a donc une atteinte à la disponibilité des données, et potentiellement à la sécurité des soins. Dans ce cas encore, il faut déclarer.
Une panne électrique
Si l’infrastructure physique n’est subitement plus alimentée électriquement, le redémarrage total du système d’information prendra forcément plusieurs heures. À minima, il y aura donc une atteinte à la disponibilité des données, par conséquent une atteinte au fonctionnement normal et potentiellement à la continuité ou la sécurité des soins. Soit trois bonnes raisons de déclarer l’incident.
Un bug dans une application au cœur du processus de soins
Si ce bug peut avoir un impact sur la sécurité des soins, sur la confidentialité, l’intégrité ou la disponibilité des données, il est recommandé de déclarer l’incident. Cela pourra avoir un impact positif sur les délais de fourniture du correctif par l’éditeur.
Une panne chez mon hébergeur
Si votre hébergeur HDS n’a plus la capacité de vous fournir l’accès aux données de santé qu’il héberge pour le compte de votre structure, il y a donc atteinte à la disponibilité des données, au fonctionnement normal de votre structure et potentiellement un risque pour vos patients. La déclaration s’avère encore une fois nécessaire. De plus, d’autres structures seront vraisemblablement confrontées aux mêmes conséquences.
La perte d'accès à internet
Si votre établissement utilise uniquement l’accès Internet pour le surf, rien de bien grave, mais les accès Internet ne se limitent bien souvent pas qu’à cela. Que votre messagerie soit hébergée en interne ou non, dans tous les cas, vous perdez ce moyen de communication. Les applications hébergées ne seront plus accessibles, les solutions de télémédecine ou de télémaintenance non plus, les interconnexions avec des sites distants… Bref, les exemples ne manquent pas, la vraie question est de savoir combien de temps votre établissement peut vivre en autarcie totale avant qu’il y ait des conséquences sur la sécurité des soins ou que l’on puisse considérer qu’il y ait une véritable atteinte au fonctionnement normal ? Pour de nombreuses structures, ce sera évidemment le cas après plus de deux heures d’indisponibilité.
La réception d'un message malveillant
Si une personne s’est fait piéger et qu’il y a eu une atteinte à la confidentialité, l’intégrité ou la disponibilité des données suite à cela, il est recommandé de déclarer l’incident. Si votre anti-spam détecte plusieurs centaines de messages par heure contenant un cheval de Troie ou un rançongiciel, même s’il a détecté et bloqué les messages, il est recommandé de déclarer l’incident pour faire remonter l’information au CERT Santé et au service du HFDS afin de déterminer s’il est nécessaire de lancer une alerte nationale.
Un logiciel malveillant détecté par mon anti-virus
Une alerte de l’antivirus doit attirer l’attention, dans la majorité des cas, si l’antivirus détecte un comportement malveillant sur un poste utilisateur, il va interagir dans le processus et stopper la menace, sinon il indiquera la procédure à suivre. Dans ce cas-là, il n’est pas nécessaire de déclarer un incident. En revanche, si l’antivirus remonte une alerte concernant un serveur ou plusieurs dizaines de postes sur une période de quelques heures, même s’il n’y a pas d’impact sur le système d’information, il est recommandé de signaler l’information pour analyser la menace. De même, lors de la détection d’une nouvelle souche virale (et il y en a beaucoup avec les cryptovirus), il est aussi recommandé de le déclarer.