Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
Avertissement : les directives de ce texte, qui ne concerne pas directement les collectivités territoriales, nous paraissent utiles par leur mise en perspective des enjeux de la sécurité des systèmes d’information et la diffusion du plan d’action SSI.
1. Enjeu
Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. Selon l’éditeur Symantec, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le cabinet de conseil Pricewaterhouse Coopers publie que le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015, et 51% en France. Tous les secteurs d’activités sont concernés. La sphère santé et médico-sociale n’est pas épargnée : selon un article récent1 , sur le deuxième trimestre 2016, les cybercriminels ont concentré leurs efforts sur le domaine particulièrement sensible et rentable de la santé. En effet, près de 90% des attaques ransomware sur cette période ont visé des établissements de santé dans le monde. Dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique . Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins.
2. Réglementation applicable
Un certain nombre de textes applicables en matière de sécurité des systèmes d’information ont été publiés ces dernières années :
− La Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), déclinaison de la politique de sécurité des systèmes d’information de l’Etat (PSSI-E), a été approuvée par arrêté ministériel du 1er octobre 2015.
− Les premiers éléments (guides pratiques et référentiels) de la Politique de sécurité des systèmes d’information de santé (PGSSI-S) ont été publiés dès 2013. Certains référentiels de la PGSSI-S seront rendus opposables dès 2017.
− Des guides sont publiés par l’Agence nationale de sécurité des systèmes d’information (ANSSI), tels le "guide d’hygiène informatique " d’octobre 2012.
(…)
3. Objectif du plan d’action SSI
Le plan d’action (en annexe de la présente instruction) vise à opérer une mise à niveau minimale de la sécurité des systèmes d’information dans toutes les structures concernées, au sein desquelles la défaillance des outils numériques représente un haut niveau de criticité (probabilité/impact).
Le plan d’action SSI ne se substitue pas aux obligations de sécurité que doivent mettre en place les structures mais il propose un calendrier à 6, 12 et 18 mois de réalisation de mesures prioritaires en termes d’efficacité par rapport, notamment, au risque de piratage informatique.
Le niveau 1 de priorité permet de diminuer le risque de manière significative, avec des mesures dont la mise en œuvre ne doit pas poser de difficulté majeure, pour des gains importants en matière de sécurité. Le document constitue un fil conducteur.
La plupart des structures y retrouveront naturellement des actions qu’elles ont déjà mises en place, ou dont la mise en place est en cours.
CIRCULAIRES.GOUV - Instruction N°SG/DSSIS/2016/309 - NOR : AFSZ1629742J - 2016-11-18
http://circulaires.legifrance.gouv.fr/pdf/2016/11/cir_41533.pdf
1. Enjeu
Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. Selon l’éditeur Symantec, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le cabinet de conseil Pricewaterhouse Coopers publie que le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015, et 51% en France. Tous les secteurs d’activités sont concernés. La sphère santé et médico-sociale n’est pas épargnée : selon un article récent1 , sur le deuxième trimestre 2016, les cybercriminels ont concentré leurs efforts sur le domaine particulièrement sensible et rentable de la santé. En effet, près de 90% des attaques ransomware sur cette période ont visé des établissements de santé dans le monde. Dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique . Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins.
2. Réglementation applicable
Un certain nombre de textes applicables en matière de sécurité des systèmes d’information ont été publiés ces dernières années :
− La Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), déclinaison de la politique de sécurité des systèmes d’information de l’Etat (PSSI-E), a été approuvée par arrêté ministériel du 1er octobre 2015.
− Les premiers éléments (guides pratiques et référentiels) de la Politique de sécurité des systèmes d’information de santé (PGSSI-S) ont été publiés dès 2013. Certains référentiels de la PGSSI-S seront rendus opposables dès 2017.
− Des guides sont publiés par l’Agence nationale de sécurité des systèmes d’information (ANSSI), tels le "guide d’hygiène informatique " d’octobre 2012.
(…)
3. Objectif du plan d’action SSI
Le plan d’action (en annexe de la présente instruction) vise à opérer une mise à niveau minimale de la sécurité des systèmes d’information dans toutes les structures concernées, au sein desquelles la défaillance des outils numériques représente un haut niveau de criticité (probabilité/impact).
Le plan d’action SSI ne se substitue pas aux obligations de sécurité que doivent mettre en place les structures mais il propose un calendrier à 6, 12 et 18 mois de réalisation de mesures prioritaires en termes d’efficacité par rapport, notamment, au risque de piratage informatique.
Le niveau 1 de priorité permet de diminuer le risque de manière significative, avec des mesures dont la mise en œuvre ne doit pas poser de difficulté majeure, pour des gains importants en matière de sécurité. Le document constitue un fil conducteur.
La plupart des structures y retrouveront naturellement des actions qu’elles ont déjà mises en place, ou dont la mise en place est en cours.
CIRCULAIRES.GOUV - Instruction N°SG/DSSIS/2016/309 - NOR : AFSZ1629742J - 2016-11-18
http://circulaires.legifrance.gouv.fr/pdf/2016/11/cir_41533.pdf
Dans la même rubrique
-
Actu - Nouvelles technologies de l’information : l’accès se généralise, l’usage plafonne
-
Actu - Fermeture du Cuivre : les réponses à toutes vos questions !
-
RM - Prise en charge des travaux de raccordement à la fibre pour les habitations isolées en zone rurale
-
Doc - Compromission de données chez un sous-traitant : quels sont les risques des accès non sécurisés ?
-
Actu - Vol d'identifiants : la nouvelle priorité des cyberattaquants
Déconnexion
