// ID CiTé
Veille juridique et professionnelle des Collectivités Territoriales







TIC - Réseaux - Téléphonie

Circ - Mise en oeuvre du plan d’action sur la sécurité des systèmes d’information ("Plan d’action SSI") dans les établissements et services concernés

Rédigé par ID CiTé le 02/12/2016



Avertissement : les directives de ce texte, qui ne concerne pas directement les collectivités territoriales, nous paraissent utiles par leur mise en perspective des enjeux de la sécurité des systèmes d’information et la diffusion du plan d’action SSI.

1. Enjeu
 
Les incidents liés à la sécurité des systèmes d’information se multiplient dans le monde. Selon l’éditeur Symantec, la France serait entrée en 2015 dans le top 10 des pays les plus touchés par le piratage informatique. Le cabinet de conseil Pricewaterhouse Coopers publie que le nombre de cyber-attaques recensées a progressé de 38% dans le monde en 2015, et 51% en France. Tous les secteurs d’activités sont concernés. La sphère santé et médico-sociale n’est pas épargnée : selon un article récent1 , sur le deuxième trimestre 2016, les cybercriminels ont concentré leurs efforts sur le domaine particulièrement sensible et rentable de la santé. En effet, près de 90% des attaques ransomware sur cette période ont visé des établissements de santé dans le monde. Dans ce secteur, les incidents liés à la sécurité des systèmes d’information peuvent avoir un impact direct sur la sécurité des soins. Ils peuvent également avoir, comme ailleurs, un impact économique . Leur traitement est donc une priorité pour les pouvoirs publics et pour tous les producteurs de soins. 

2. Réglementation applicable 
Un certain nombre de textes applicables en matière de sécurité des systèmes d’information ont été publiés ces dernières années :
 − La Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), déclinaison de la politique de sécurité des systèmes d’information de l’Etat (PSSI-E), a été approuvée par arrêté ministériel du 1er octobre 2015. 
− Les premiers éléments (guides pratiques et référentiels) de la Politique de sécurité des systèmes d’information de santé (PGSSI-S) ont été publiés dès 2013. Certains référentiels de la PGSSI-S seront rendus opposables dès 2017. 
− Des guides sont publiés par l’Agence nationale de sécurité des systèmes d’information (ANSSI), tels le "guide d’hygiène informatique " d’octobre 2012. 
(…)

3. Objectif du plan d’action SSI 
Le plan d’action (en annexe de la présente instruction) vise à opérer une mise à niveau minimale de la sécurité des systèmes d’information dans toutes les structures concernées, au sein desquelles la défaillance des outils numériques représente un haut niveau de criticité (probabilité/impact). 
Le plan d’action SSI ne se substitue pas aux obligations de sécurité que doivent mettre en place les structures mais il propose un calendrier à 6, 12 et 18 mois de réalisation de mesures prioritaires en termes d’efficacité par rapport, notamment, au risque de piratage informatique. 
Le niveau 1 de priorité permet de diminuer le risque de manière significative, avec des mesures dont la mise en œuvre ne doit pas poser de difficulté majeure, pour des gains importants en matière de sécurité. Le document constitue un fil conducteur. 
La plupart des structures y retrouveront naturellement des actions qu’elles ont déjà mises en place, ou dont la mise en place est en cours.

CIRCULAIRES.GOUV - Instruction N°SG/DSSIS/2016/309 - NOR : AFSZ1629742J - 2016-11-18
http://circulaires.legifrance.gouv.fr/pdf/2016/11/cir_41533.pdf







Les articles les plus lus des 7 derniers jours...