IMPORTANT - Rappel des mesures à appliquer en cas d’incident de sécurité concernant votre système d’information ou d’indisponibilité de l’accès à celui-ci

IMPORTANT - Rappel des mesures à appliquer en cas d’incident de sécurité concernant votre système d’information ou d’indisponibilité de l’accès à celui-ci

IMPORTANT - Rappel des mesures à appliquer en cas d’incident de sécurité concernant votre système d’information ou d’indisponibilité de l’accès à celui-ci

Mesdames et messieurs les Directeurs d’établissements,

Nous tenons à vous informer qu’au cours des derniers mois, plusieurs établissements médico-sociaux de la région Normandie ont fait l’objet de cyber-attaques de divers types (intrusion dans le SI de l’établissement, rançongiciel, usurpations d’identité, …). Des attaques de ce type peuvent aussi faire l’objet d’exfiltration de données concernant les résidents ou les personnels des structures concernées.

Par ailleurs, des pannes des accès réseaux et téléphonie sont aussi fréquentes sur le territoire normand, pouvant impliquer des contraintes dans l’accès à vos systèmes d’information ayant potentiellement un impact sur la prise en charge de vos résidents.

Dans tous les cas où vous auriez connaissance d’un incident ayant un impact sur le fonctionnement de vos systèmes d’informations ou pour les prévenir, nous vous incitons  à :

• rester vigilants quant à la sécurisation de votre système d’information
• mettre en œuvre les recommandations de l’Agence Nationale sur la Sécurité des Systèmes d’Information (ANSSI) accessibles ci-dessous
• préparer la mise en place d’exercices de crise
• signaler à l’ARS Normandie et au CERT Santé tout incident de sécurité SI sur le portail des signalements :

                Portail  : https://signalement.social-sante.gouv.fr/psig_ihm_utilisateurs/index.html#/accueil

Dans ce contexte, l’ARS Normandie vous invite donc à :

• vous assurer de la bonne mise en place des mesures d’hygiène informatique essentielles présentées dans le guide d’hygiène informatique  ;
• consulter le guide sur la cybersécurité dans le social et le médico-social
• prendre en compte l’ensemble des bonnes pratiques vous concernant recommandées par l’ANSSI, accessibles sur son site 
• bénéficier de la plate-forme de sensibilisation à la cybersécurité SECUR’NeS mise à disposition des établissements par l’ARS Normandie et le GRADeS normand (GCS Normand’e-santé)
• suivre attentivement les alertes et avis de sécurité émis par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), disponibles sur son site.

En cas d’attaque cyber, le CERT Santé pourra venir en appui sur les aspects techniques. De son côté, l’ARS Normandie pourra être à vos côtés si besoin, concernant les impacts sur la prise en charge de vos résidents et la remise en état de votre système d’information.

Nous nous permettons de vous rappeler que la destruction ou la perte de données à caractère personnel est constitutive d'une violation de données personnelles (perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite). Si l'incident présente un risque pour les droits et libertés des personnes, il le faut notifier à la CNIL dans les meilleurs délais.

Lien vers la plateforme de notifications de la CNIL :  https://notifications.cnil.fr/notifications/ 

Bien cordialement,

ARS Normandie

Esplanade Claude Monet, 2 place Jean Nouzille, CS 55035, 14050 Caen Cedex 4

www.normandie.ars.sante.fr