L’obligation de déclaration des incidents significatifs ou graves de sécurité des systèmes d’information a été étendue aux établissements médico-sociaux.

La procédure associée au traitement de ces signalements a été précisée dans l’instruction n° 2023/10 du 31 mai 2023.

Désormais les établissements médico-sociaux sont soumis à l’obligation de déclarer la survenue d’incidents significatifs ou graves de sécurité des systèmes d’information. Ce signalement se fait sur le portail des signalements opéré par l’Agence du numérique en
santé (ANS) qui pilote, en coordination avec le Service du haut fonctionnaire de défense et de sécurité (HFDS), la mise en œuvre de ce dispositif pour les incidents concernant les systèmes d’information.

La déclaration doit être effectuée sans délai auprès du CERT Santé.

Le formulaire de déclaration doit être renseigné sur le portail des signalements : https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.html#/accueil (espace professionnel de santé).

Le déclarant fournit toutes les informations dont il dispose au moment de la découverte de
l’incident et notamment :

• les informations permettant d’identifier la structure concernée par l’incident ainsi que le
  déclarant ;
• la description de l’incident, notamment la date du constat, le périmètre de l’incident, les
  systèmes d’information et données concernées et l’état de la prise en charge ;
• la description de l’impact de l’incident sur les données, les personnes, les systèmes
  d’information et la structure ;
• les causes de l’incident si celles-ci sont identifiées.