Pro Bono : le cabinet aux côtés de la Fondation Abbé Pierre

Fondation Abbé PierreLe cabinet assiste la Fondation Abbé Pierre dans la sécurisation de son système d’information et sa conformité au RGPD.

Déjà actif de longue date dans le cadre de projets Pro Bono (v. notre post du 4-5-2017), le cabinet Lexing Alain Bensoussan Avocats vient de signer un partenariat avec la Fondation Abbé Pierre.

Objectifs du partenariat avec la Fondation Abbé Pierre

  • renforcer la sécurité du système d’information de la Fondation et la doter d’une charte informatique définissant les droits et obligations de ses utilisateurs ;
  • mettre en place les dispositions nouvelles issues du règlement européen sur la protection des données (RGPD), pour l’ensemble des données informatiques qu’elle est amenée à traiter.

Au regard des objectifs qu’elle poursuit, le cabinet a souhaité mettre son expertise au service de la Fondation en l’accompagnant dans ses démarches pour la conception et la réalisation des objectifs précités.

Les deux parties ont signé dans ce cadre une convention de mécénat de compétences ayant pour objet de définir les modalités et conditions d’intervention de la société Alain Bensoussan Avocats pour la Fondation à laquelle elle apporte son soutien.

Eric Bonnet
Directeur Département communication juridique




Opérateurs de services essentiels dans le secteur de la santé

opérateurs de services essentielsL’arrêté du 13 juin 2018 vient compléter le dispositif applicable aux OSE et FSN posé par la loi de transposition de la directive Network and Information Security ainsi que son décret d’application relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Ces dispositions concernent notamment plusieurs acteurs du secteur de la santé et, par exemple, les établissements de soins qui seront désignés OSE ainsi que certains hébergeurs de données de santé qui proposent des services cloud.

1. Transposition de la directive NIS

La directive Network and Information Security (NIS) adoptée le 6 juillet 2016 par le Parlement européen et le Conseil de l’Union européenne a été transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (1). Elle a pour objectif de renforcer les capacités nationales en matière de cybersécurité afin d’améliorer le fonctionnement du marché intérieur.

Conformément à la directive NIS, d’une part, et à sa loi de transposition, d’autre part, les obligations issues de ces textes concernent notamment :

  • les opérateurs de service essentiel qu’ils soient publics ou privées (les OSE) ;
  • les fournisseurs de services numériques (les FSN).

2. Opérateurs de service essentiels dans le secteur de la santé

2.1. Définition des opérateurs de services essentiels

Les OSE sont des «opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services» (Loi n° 2018-133 art. 5).

En application de l’article 5 de la loi, «ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans».

Ainsi, les structures de santé ne peuvent être concernées par ces textes que si elles sont désignées par le Premier ministre en tant qu’OSE.

A noter que cette définition est similaire à celle des opérateurs d’Importance vitale dont la notion figure déjà aux articles L. 1332-1 et L. 1332-2 du Code de la défense qui sont exclus des OSE, conformément à l’article 5 de la loi susvisée, pour les systèmes d’information visés par cette réglementation.

2.2 Désignation des opérateurs de services essentiels dans le secteur de la santé

Peuvent être désignés OSE les opérateurs fournissant un des services :

  • mentionnés à l’annexe du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et FSN (2). Dans le secteur de la santé, différents sous-secteurs sont visés :
    • les établissements de soins de santé (y compris les hôpitaux et les cliniques privées) : ce sous-secteur concerne les prestataires de soins de santé et les prestataires fournissant un service d’aide médicale d’urgence ;
    • les produits pharmaceutiques : la distribution pharmaceutique par les grossistes répartiteurs pharmaceutiques ;
    • les mutuelles sont également visées pour les services d’assurance vie, d’assurance non-vie et de réassurance.
  • dont la fourniture requiert des réseaux et systèmes d’information et qu’un incident affectant ces réseaux et systèmes aurait sur la fourniture du service, des conséquences graves, appréciées au regard de différents critères (nombre d’utilisateurs dépendant du service, dépendance des autres secteurs d’activité mentionnés à l’annexe du décret, conséquence de l’incident en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité juridique, etc.).

Sur la base de ces critères, l’Agence nationale de la sécurité des systèmes d’information (Anssi) précise dans sa FAQ (3) qu’elle proposera au Premier ministre, en coordination avec les ministères compétents, une liste d’OSE potentiels et poursuit en indiquant les étapes du processus de désignation des OSE. Par exemple, pour un établissement de santé :

  • une lettre d’intention de désignation est adressée à l’établissement de santé pressenti OSE ;
  • l’établissement de santé pressenti OSE peut émettre des réserves ;
  • le Premier ministre prend ou non la décision de désigner l’établissement de santé comme OSE, par arrêté.

2.3 Obligations des opérateurs de services essentiels dans le secteur de la santé

Lorsqu’ils sont désignés OSE, ces opérateurs sont tenus de respecter les obligations suivantes :

  • désigner une personne chargée de le représenter auprès de l’Anssi et communiquer ses coordonnées dans un délai de deux mois à compter de la date d’effet de l’arrêté de désignation (Loi n° 2018-133 art. 5) ;
  • déclarer les réseaux et systèmes d’information considérés comme essentiels dans un délai de trois mois à compter de la date d’effet de l’arrêté de désignation, c’est-à-dire nécessaires à la fourniture des services essentiels mentionnés ci-dessus, y compris les réseaux et systèmes d’information dont l’exploitation a été confiée à un tiers. Les modalités des déclarations sont prévues par un arrêté du 13 juin 2018 (4), lequel prévoit que :
    • la communication des réseaux et systèmes d’information est accompagnée, pour chaque réseau et système d’information, d’un formulaire complété, disponible sur le site de l’Anssi ;
    • l’OSE communique une fois par an à l’Anssi la liste et les formulaires mis à jour.
  • appliquer à leurs frais les règles de sécurité nécessaires à la protection des réseaux et des SI fixées par arrêté du Premier ministre dans les domaines suivants : gouvernance de la sécurité des réseaux et des SI, protection des réseaux et des SI, défense des réseaux et des SI, résilience des activités (décret n° 2018-384, art. 10) ;
  • déclarer, sans délai après en avoir pris connaissance, à l’Anssi, «les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services» (arrêté du 13-6-2018, art. 3) :
    • après consultation de l’OSE, l’Anssi peut informer le public d’un incident ;
    • la déclaration est réalisée sans préjudice de toute autre formalité déclarative à la charge de l’OSE. Par exemple, concernant un établissement de santé désigné OSE, il sera également tenu de signaler à l’ARS tout incident grave de sécurité des systèmes d’information de santé et à la Cnil toute violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques comme nous l’avions présenté dans un précédent article ;
    • la déclaration est réalisée en utilisant le formulaire disponible sur le site internet de l’Anssi, dans lequel l’OSE mentionne notamment : des informations sur le déclarant, le réseau et le système d’information affecté par l’incident, les conséquences de l’incident sur les services essentiels concernés, le type d’incident, les causes, les mesures prises par l’OSE permettant d’y répondre ;
    • l’OSE doit transmettre le formulaire par voie électronique ou postale dès qu’il a connaissance d’un incident, y compris s’il ne dispose pas de toutes les informations requises. Dans cette dernière hypothèse, il complète le formulaire dès qu’il connait ces informations.
  • se soumettre à des contrôles de l’Anssi destinés à vérifier le respect de ces obligations et le niveau de sécurité des réseaux et des systèmes d’information de santé nécessaire à la fourniture des services essentiels (décret n° 2018-384, art. 13 et suivants).

2.4 Sanctions des opérateurs de services essentiels

L’article 9 de la loi prévoit les sanctions encourues en cas de non-respect des obligations par les OSE. Ainsi, la loi prévoit que le fait pour les dirigeants des OSE de ne pas se conformer aux règles de sécurité à l’issue du délai fixé par mise en demeure est puni de 100 000 € d’amende.

Est également puni de 75 000 € d’amende le fait, pour les dirigeants des OSE de ne pas satisfaire à l’obligation de déclaration d’incident. Enfin, est puni de 125 000 € d’amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle de l’Anssi.

Marguerite Brac de la Perrière
Chloé Gaveau
Département Santé numérique

(1) Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
(2) Décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.
(3) Anssi, FAQ – Opérateurs de services essentiels (OSE).
(4) Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des OSE et des FSN.




Sécurité des systèmes d’information d’EDF : Entretien avec Alain Jeandat

La sécurité des systèmes d’information d’EDF : Entretien avec Alain JeandatCe mois-ci nous avons interviewé Alain Jeandat, Chef du Pôle Sécurité des Systèmes d’information, Autorité qualifiée de Sécurité des Systèmes d’Information (AQSSI) d’EDF.

Une AQSSI est l’autorité responsable de la sécurité des systèmes d’information dans les administrations centrales et les services déconcentrés de l’Etat, ainsi que dans des établissements publics et dans des organismes et entreprises ayant conclu avec l’administration des marchés ou des contrats. Sa responsabilité ne peut pas se déléguer.

Cette autorité est responsable de la sécurité des systèmes d’information au sein de son entité et du respect des réglementations en vigueur. Elle a également pour mission de désigner, sur son périmètre de compétence, les autorités d’homologation de sécurité des SI.

Alain Jantet, Chef du Pôle Sécurité et Conformité Réglementaires des Systèmes d’information, AQSSI d’EDF depuis mai 2016 a accepté de répondre aux questions de Maître Didier Gazagne, Directeur de la Business Unit Défense & Sécurité – Drones – Risques, Lexing  Alain  Bensoussan  Avocats :

  • Pouvez-vous nous dire brièvement en quoi consiste votre activité d’Autorité qualifiée de Sécurité des Systèmes d’Information (AQSSI) d’EDFLa sécurité des systèmes d’information d’EDF
  • L’accroissement ces derniers mois des cyberattaques mondiales et le déploiement de ransomwares (WannaCry, Petya) modifient-ils vos priorités ?
  • La sensibilisation et la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d’information est-elle la priorité de l’AQSSI ?
  • Quel rôle joue l’Autorité Qualifiée de Sécurité des Systèmes d’Information (AQSSI) dans la stratégie de cybersécurité d’une organisation ?
  • Sur quelle chaîne fonctionnelle de sécurité des systèmes d’information vous appuyez-vous ? Quelles sont les compétences nécessaires de l’AQSSI ?
  • Envisagez-vous de recourir à l’utilisation d’outils de sécurité cognitive à court ou moyen terme ? Dans l’affirmative, quels sont les enjeux ?

Lire l’interview complète parue dans la JTIT 184 du mois de novembre, « La sécurité des systèmes d’information d’EDF : une affaire de stratégie ».




Arrêtés sectoriels relatifs à la cybersécurité des OIV

cybersécurité des OIVLa cybersécurité des OIV opérateurs d’importance vitale est une notion essentielle définie par le Code de la défense.

Cybersécurité des OIV : définitions du cadre légal

Son article L. 1332-1 donne la définition suivante des opérateurs d’importance vitale (OIV) : des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ».

Le régime juridique des OIV s’articule autour d’un dispositif hiérarchisé qui se divise en douze secteurs d’activité d’importance vitale (SAIV). Les SAIV se subdivisent en sous-SAIV.

Les règles de sécurité nécessaires à la protection des systèmes d’information (SI) des OIV et des opérateurs publics ou privés qui participent à leurs SI sont fixées par le Premier ministre (art. L. 1332-6-1 al. 1 du Code de la défense).

Les SI des OIV sont qualifiés de systèmes d’information d’importance vitale (SIIV) et sont définis comme tous « systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population » (art. R.1332-41-2 du Code de la défense).

Cybersécurité des OIV : mise en application

Plusieurs arrêtés viennent préciser les règles de sécurité des SIIV des neuf SAIV et sous-SAIV suivants : produits de santé ; gestion de l’eau ; alimentation ; approvisionnement en hydrocarbures pétroliers, transports terrestres, transports maritimes et fluviales, transport aérien ; approvisionnement en énergie électrique ; approvisionnement en gaz naturel ; audiovisuel et information ; communications électroniques et internet ; industrie ; finances ; nucléaire.

L’entrée en vigueur des derniers arrêtés se fera à compter du 1er avril 2017.

Ces arrêtés fixent trois grands types de règles détaillées dans des annexes. Ils déterminent tout d’abord les règles de sécurité que les OIV sont tenus de respecter pour protéger leurs SI. Ils détaillent ensuite les délais dans lesquels les OIV sont tenus d’appliquer les règles de sécurité. Ils fixent enfin les modalités selon lesquelles les OIV déclarent à l’Anssi la liste de leur SIIV et les incidents de sécurité.

Les annexes relatives aux délais de mise en œuvre des règles de sécurité, aux modalités de déclaration des SIIV et des incidents sont classifiées. Elles ne sont donc pas publiées.

Cybersécurité des OIV : harmonisation des règles à respecter

Les règles de sécurité à respecter sont présentées dans une annexe de plusieurs pages propre à chaque SAIV ou sous-SAIV.

Cette annexe se compose des vingt chapitres traitant des thèmes suivants :

  1. politique de sécurité des systèmes d’information ;
  2. homologation de sécurité ;
  3. cartographie ;
  4. maintien en condition de sécurité ;
  5. journalisation des événements;
  6. systèmes de corrélation et d’analyse de journaux qui exploitent les événements enregistrés par le système de journalisation ;
  7. systèmes de détection des événements susceptibles d’affecter la sécurité des SI;
  8. traitement des incidents de sécurité ;
  9. traitement des alertes ;
  10. gestion des crises ;
  11. identification des utilisateurs ;
  12. mécanismes d’authentification ;
  13. droits d’accès ;
  14. comptes destinés aux personnes chargées d’effectuer les opérations d’administration des ressources des SIIV ;
  15. systèmes d’information utilisés pour effectuer l’administration des SIIV ;
  16. cloisonnement des SIIV ;
  17. mécanismes de filtrage des flux de données;
  18. accès aux SIIV à travers des réseaux tiers (accès à distance) ;
  19. installation de services et d’équipements ;
  20. indicateurs relatifs à l’état des SIIV.
Cybersécurité des OIV : déclaration des SIIV

Les arrêtés prévoient que les OIV doivent transmettre à l’Anssi la liste de leurs SIIV. La liste doit aussi comprendre les SI des opérateurs tiers qui participent aux SIIV. Cette démarche doit se faire dans un délai de trois mois à compter de la date d’entrée en vigueur de l’arrêté ou de la désignation de l’opérateur comme OIV. Le formulaire de déclaration est disponible sur le site Internet de l’Anssi.

Une analyse d’impact doit être réalisée par les OIV afin de savoir si un SI peut être qualifié de SIIV.

L’OIV doit aussi communiquer une fois par an à l’Anssi les mises à jour de sa liste de SIIV et des formulaires de déclaration.

Pour tout nouveau SIIV, l’OIV doit effectuer une déclaration à l’Anssi préalablement à sa mise en œuvre. Si un SI évolue et satisfait alors aux conditions pour être qualifié de SIIV, une déclaration doit aussi être faite.

Lorsqu’un SI perd sa qualification de SIIV, une déclaration doit être transmise à l’Anssi justifiant les raisons de cette évolution.

Cybersécurité des OIV : déclaration des incidents

Les OIV doivent dorénavant déclarer à l’Anssi chacun des incidents de sécurité mentionnés en annexe de l’arrêté qui les concerne. Cette annexe relative aux incidents de sécurité n’est pas publiée. La déclaration est transmise à l’Anssi selon un formulaire spécial disponible sur le site web de l’Agence.

Ce formulaire est un document confidentiel. Il peut être couvert par le secret de la défense nationale. La déclaration doit se faire selon le moyen approprié à la sensibilité de l’information déclarée.

Enfin, les différents arrêtés précisent que les OIV doivent transmettre à l’Anssi les coordonnées de la personne chargée de le représenter auprès de l’Agence. Cette transmission doit se faire dans un délai de trois mois à compter de l’entrée en vigueur de l’arrêté ou de sa désignation comme OIV.

Cybersécurité des OIV : dans la continuité de la directive NIS

La publication des arrêtés commentés s’inscrit dans le prolongement de l’adoption de la directive NIS (2016/1148) par le Parlement européen le 6 juillet 2016. La directive NIS (acronyme de Network and Information Security) définit des critères permettant aux Etats de l’Union d’évaluer si une entité fournit ou non des services nécessaires au maintien de fonctions sociétales ou économiques critiques (1).

La France se place donc en première ligne des avancées réglementaires en matière de protection des SIIV.

A noter également, la création par l’Anssi d’une rubrique dédiée aux OIV sur son site internet.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense

(1) Directive NIS : enjeux pour les OSE (OIV en France), D. Gazagne, 4-8-2016.

 




Directive NIS et fournisseurs de services numériques

Directive NIS et fournisseurs de services numériques (DSP)

La directive du 6 juillet 2016, dite « directive NIS », a instauré la notion de fournisseurs de services numériques.

La directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union crée un régime juridique spécial applicable à la sécurité des réseaux et systèmes d’information des fournisseurs de services numériques.

Cette directive, par renvoi à la directive 2015/1535, définit le fournisseur de services numériques comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Aux termes de l‘annexe III de la directive, il existe trois types de services numériques :

  • les places de marché ;
  • les moteurs de recherche en ligne ;
  • les services d’informatique en nuage.

La directive NIS devra être transposée en droit interne au plus tard le 9 mai 2018.

Régime de sécurité des réseaux et systèmes d’information des fournisseurs de services numériques

Les réseaux et les services d’information jouent « un rôle crucial dans la société » (considérant 1 de la directive NIS). Un régime spécial de sécurité et de notification d’incidents (article 16 de la directive NIS) a donc été instauré et devra être transposé en droit interne par les Etats membres.

Ce régime s’articule principalement autour de trois axes.

Tout d’abord, les fournisseurs de services numériques devront identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information (SI).

Ensuite, des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques devront être adoptées en prenant en considération les éléments suivants :

  • la sécurité des systèmes et des installations ;
  • la gestion des incidents ;
  • la gestion de la continuité des activités ;
  • le suivi, l’audit et le contrôle ;
  • le respect des normes internationales.

Enfin, des mesures devront être prises pour évités les incidents, entendus comme « tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ». L’impact d’un incident devra être évalué selon les critères suivants :

  • le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services ;
  • la durée de l’incident ;
  • la portée géographique eu égard à la zone touchée par l’incident ;
  • la gravité de la perturbation du fonctionnement du service ;
  • l’ampleur de l’impact sur les fonctions économiques et sociétales.

De surcroît, l’incident devra être notifié à l’autorité nationale compétente ou à un Centre de réponse aux incidents de sécurité informatique (CSIRT).

Transposition de la directive NIS en droit français

Les travaux de transposition de la directive NIS en droit positif ont débuté à l’automne 2016. Ces travaux consistent à intégrer en droit interne la notion de fournisseur de services numériques. Mais aussi les règles de sécurité qui en découlent.

C’est l’Anssi (1) qui assurera le travail préparatoire de transposition, des règles spéciales applicables aux fournisseurs de services numériques pourraient être créées (2). Des règles spécifiques par types de fournisseurs de services numériques pourraient être élaborées ou des règles propres à chaque type de fournisseurs.

L’Anssi pourra mettre à profit les travaux de renforcement des règles de sécurité qui incombent aux opérateurs d’importance vitale (OIV). L’Anssi pourra s’appuyer également sur l’Enisa (3) en charge d’assister les Etats pour la mise en œuvre de la directive. Le détail des règles relatives à la sécurité des systèmes informatiques d’importance vitale a récemment été publié (4). Ainsi, étant donné l’importance de l’activité des fournisseurs de services numériques pour la société, ces règles de sécurité informatique pourraient trouver à s’appliquer à ces derniers.

Ces fournisseurs ne semblent pas pouvoir être considérés comme des OIV. Des règles strictes de sécurité informatique devraient leur être applicables. Les fournisseurs de services numériques notifieront à l’Anssi leurs « incidents significatifs ».

Cumul des statuts de fournisseurs de services numériques et d’opérateur de services essentiels (OSE)

Sauf situations particulières, il ne semble pas qu’un fournisseur de services numériques puisse être également un OSE. Toutefois, à titre d’exemple, d’un opérateur de réseau de communications électroniques qui fournit des services d’informatique en nuage pourra, dans certains cas, être qualifié d’OSE. La fourniture de services informatique en nuage fera également dudit opérateur un fournisseur de services numériques.

Pour certains opérateurs, les règles spéciales de sécurité propres aux régimes des OSE (5) et au régime des fournisseurs de services numériques (6) leur seront applicables. La PSSI (7) de nombreux opérateurs devra être modifiée pour intégrer ces nouvelles règles.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense

(1) L’ANSSI effectue déjà ces missions, son décret de création précise qu’elle « participe aux négociations internationales et assure la liaison avec ses homologues étrangers ».
(2) Décret 2009-834 du 7-7-2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information »
(3) ENISA : Agence européenne chargée de la sécurité des réseaux et de l’information.
(4) Post du 4-8-2016
(5) Code de la défense
(6) Directive (UE) 2016/1148 du 6-7-2016
(7) PSSI : Politique de Sécurité des Systèmes d’information




Santé et sécurité des systèmes d’information

M. Brac de La Perrière, Sécurité des SI de santé 2016Marguerite Brac de La Perrière est intervenue au colloque Sécurité des systèmes d’information de santé 2016 du 14 décembre 2016.

C’est la 2ème édition du colloque organisé respectivement par la Délégation à la stratégie des systèmes d’information de santé (DSSIS), l’ASIP Santé, la Direction générale de l’offre de soins (DGOS) et le Service du Haut fonctionnaire de défense et de sécurité (HFDS) des ministères chargés des Affaires sociales.

L’objectif de la journée : se rencontrer, débattre, échanger, afin de dresser un état des lieux des nouvelles menaces qui pèsent sur les SI de santé et sur les moyens de les contrer.

Animée par Philippe Burnel, Délégué à la stratégie des systèmes d’information de santé du ministère chargé de la Santé, la journée a réuni près de 200 participants, dont une grande majorité de directeurs des systèmes d’information en établissement de santé.

Une quinzaine d’intervenants étaient invités à présenter leurs travaux et débattre des diverses thématiques liées à la Sécurité des systèmes d’information de santé : aspects juridiques, organisationnels, techniques, mais également retours d’expérience et études de cas riches d’enseignements.

La table ronde juridique qui rassemblait la Cnil, l’Asip Santé, la DAJ et Marguerite Brac Sécurité des SI de santé 2016de La Perrière, avait vocation à présenter les nombreuses évolutions légales et réglementaires de l’année, tant au niveau européen qu’au niveau national.

Marguerite Brac de La Perrière avait choisi un angle opérationnel pour présenter les textes applicables en matière de responsabilité des établissements de santé s’agissant de la sécurité de leurs SI.

Ces derniers doivent s’inscrire dans une démarche formalisée de mise en conformité, notamment via la certification HAS, de sorte à minimiser les risques et conséquences en cas d’atteinte du SI ou de contrôle.

Le support de son intervention, ainsi que ceux des autres intervenants de la table ronde juridique, peuvent être consultés sur le site de l’Asip Santé.

 




Directive NIS : enjeux pour les OSE (OIV en France)

Directive NIS : enjeux pour les OSE (OIV en France)La transposition de la directive NIS entrée en vigueur le 19 juillet 2016, doit intervenir au plus tard le 9 mai 2018.

La directive NIS (1) (Acronyme de Network and Information Security) adoptée par le Parlement européen et le Conseil le 6 juillet 2016 et dont les dispositions d’appliqueront dans les Etats membres de l’Union dès le 10 mai 2018, définit des critères permettant aux Etats de l’Union d’évaluer si une entité fournit ou non des services nécessaires au maintien de fonction sociétales ou économiques critiques.

Toutefois, au cours de la période de transposition, le groupe de coopération et le réseau des centres de réponse aux incidents de sécurité informatiques (CSIRT) devront commencer à s’acquitter des tâches définies à l’article 11, paragraphe 3 (Points a) à l)) et à l’article 12, paragraphe 3 (Points a) à j)), au plus tard le 9 février 2017.

L’harmonisation minimale et l’évaluation biennale

La directive NIS opère une harmonisation minimale. En effet, les Etats membres peuvent adopter ou maintenir des dispositions dans leur droit national pour atteindre un niveau de sécurité plus élevé que celui obtenu avec la mise en œuvre de la directive NIS.

Au plus tard le 9 mai 2018, puis tous les deux ans à compter de cette date, les Etats membres de l’Union devront communiquer à la Commission les informations nécessaires pour l’évaluation de la mise en œuvre de la directive NIS.

La directive NIS est sans préjudice des mesures prises par les Etats pour préserver leurs fonctions étatiques essentielles et en particulier la sécurité nationale et en particulier la divulgation des informations considérées comme contraire aux intérêts essentiels de sécurité et de maintien de l’ordre public (détection des infractions pénales, enquêtes et poursuites) (3).

L’opérateur de services essentiels

L’article 4 paragraphe 4) de la directive NIS donne une définition légale de l’opérateur de services essentiels (OSE). Il s’agit de toute « entité publique ou privée » dans l’un des secteurs ou sous-secteurs décrits ci-après, qui répond aux trois critères d’identification de l’article 5 paragraphe 2) de la directive, à savoir :

  • l’entité fournit un service qui est essentiel au maintien d’activités sociales et économiques critiques ;
  • la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
  • un incident aurait un effet disruptif important sur la fourniture dudit service.

A compter du 9 mai 2018, les Etats de l’Union auront également l’obligation de procéder à un réexamen ainsi qu’à une mise à jour de la liste des opérateurs de services essentiels identifiés.

Les secteurs ou sous-secteurs concernés

Les secteurs au sein desquels les opérateurs de services essentiels fournissent des services tributaires des réseaux et des systèmes d’information sont au nombre de 7. Il s’agit des secteurs de l’énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, la fourniture et distribution d’eau potable, les infrastructures numériques.

Deux secteurs comportent des sous-secteurs, l’énergie (sous-secteurs de l’électricité, du pétrole et du gaz) et des transports (sous-secteurs du transport aérien, du transport ferroviaire, du transport par voie d’eau, du transport routier).

La France a quant à elle identifié 12 secteurs, ainsi que des sous-secteurs. La législation française permet donc d’atteindre un niveau de sécurité plus élevé en couvrant plus de secteurs, ainsi que des sous-secteurs.

La stratégie nationale en matière de sécurité des réseaux et des systèmes d’information

La directive NIS impose à tous les Etats membres de l’Union d’adopter une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques ainsi que les mesures politiques et réglementaires en vue de parvenir à un niveau élevé de sécurité, couvrant les secteurs et sous-secteurs (Annexe II de la Directive) et les services numériques (a) (place de marché en ligne, moteurs de recherche en ligne, service d’information en nuage) fournis par toute personne morale fournissant un service numérique.

La directive NIS définit également le contenu minimal de toute stratégie nationale d’un Etat membre de l’Union qui doit contenir les points suivants :

  • les objectifs et priorités de la stratégie nationale ;
  • le cadre de gouvernance permettant d’atteindre les objectifs et priorités ainsi que les rôles et responsabilités des organismes publics et des acteurs privés ;
  • l’inventaire des mesures de préparation, d’intervention et de récupération y compris les mesures de coopération entre acteurs des secteurs public et privé ;
  • un aperçu des programmes d’éducation et surtout de sensibilisation et de formation par rapport aux objectifs de la stratégie nationale ;
  • un aperçu des plans de recherche et de développement ;
  • un plan d’évaluation des risques ;
  • une liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

Enfin, les Etats membres de l’Union qui ont l’obligation de communiquer leur stratégie à la Commission dans le délai de trois mois à compter de son adoption, peuvent toutefois exclure de cette communication les éléments de la stratégie relatifs à la sécurité nationale.

La mise en place d’un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union

La directive NIS institue un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union afin de renforcer la confiance et promouvoir la coopération opérationnelle entre Etats de l’Union.

Le groupe de coopération stratégique est composé des représentants des Etats membres de l’Union, de la Commission et de l’ENISA (4).

L’établissement des centres de réponse aux incidents de sécurité informatiques (CSIRT) et du réseau des CSIRT

Est également institué par la directive NIS, un réseau des centres de réponse aux incidents de sécurité informatiques dénommé réseau des CSIRT. Chaque Etat de l’Union a l’obligation de désigner un ou plusieurs centres de réponse aux incidents de sécurité informatiques. Les obligations et tâches de chaque CSIRT doivent être définies soit par une politique soit par la réglementation nationale.

Les obligations assignées aux CSIRT sont de veiller à un niveau élevé de disponibilité des services de communication, d’assurer la continuité des opérations. Les tâches de chaque CSIRT sont notamment le suivi des incidents, l’activation des mécanismes d’alerte précoce, la diffusion d’informations sur les risques et incidents, l’intervention en cas de survenance d’incident, l’analyse dynamique des risques et incidents, la participation au réseau des CSIRT et la coopération avec les acteurs du secteur privé.

Les autorités nationales et point de contact unique

Chaque Etat membre de l’Union doit désigner une ou plusieurs autorités nationales couvrant les secteurs et les services, objet de la directive NIS ainsi qu’un point de contact national unique. Lorsqu’un Etat désigne une seule autorité nationale compétente, celle-ci est automatiquement désignée comme point de contact national unique.

Le législateur européen a émis le souhait que les Etats membres veillent à ce que toute autorité compétente et point de contact disposent de ressources suffisantes permettant la réalisation des tâches respectives leur incombant de manière effective et efficace.

Lorsque l’autorité compétente nationale, le ou les CSIRT, le point de contact unique sont distincts, ces entités doivent naturellement coopérer afin de respecter les obligations de la directive NIS.

L’instauration d’exigences de sécurité et de notification d’incidents pour les opérateurs de services essentiels

La directive NIS définit très précisément les obligations qui incombent aux opérateurs de services essentiels. Les opérateurs de services essentiels doivent :

  • prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
  • prendre les mesures appropriées pour prévenir les incidents de compromission de la sécurité des réseaux et systèmes d’information ;
  • veiller à notifier à l’autorité compétente au plan national ou au CSIRT et sans retard injustifié, les incidents ayant un impact significatif sur la continuité des services essentiels.

L’un des points de débats précédant la publication de la directive NIS, concernait le périmètre et le contenu des notifications d’incidents par l’opérateur de services essentiels. La directive NIS ne se prononce pas sur le contenu de la notification d’incident incombant à l’opérateur de services essentiels. La directive NIS laisse finalement à l’opérateur de services essentiels le soin de déterminer quelles sont les informations permettant à l’autorité compétente ou au CSIRT de déterminer si l’incident a un impact au niveau transfrontalier.

Il incombe à l’autorité nationale compétente ou au CSIRT de préserver la sécurité, la confidentialité des informations communiquées ainsi que les intérêts commerciaux de l’opérateur de services essentiels.

La directive prévoit toutefois que de concert au sein du groupe de concertation, les autorités compétentes peuvent élaborer et adopter des lignes directrices précisant les circonstances dans lesquelles les opérateurs de services essentiels sont tenus de notifier les incidents.

L’instauration d’exigences de sécurité et notification d’incidents pour les fournisseurs de services numériques

Le fournisseur de service numérique est défini par la directive NIS comme toute personne morale qui fournit un service numérique.

Le chapitre V de la directive NIS ne s’applique pas aux microentreprises et petites entreprises au sens de la recommandation de la Commission n° 2003/361/CE du 06 mai 2003 (5).

Un fournisseur de service numérique est considéré comme relevant de la compétence d’une Etat membre, s’il y a son établissement principal ou lorsque son siège social se trouve dans cet Etat membre de l’Union. Un fournisseur qui n’est pas établi sur un Etat membre de l’Union mais fournit néanmoins des services numériques sur le territoire de l’un des Etats membres de l’Union a l’obligation de désigner un représentant dans l’Union.

La désignation d’un représentant dans l’Union est sans préjudice des actions en justice qui pourraient être intentées directement contre le fournisseur de service.

Pour les trois types de services numériques (places de marché et moteurs de recherche en ligne et services informatique en nuage), les fournisseurs de services doivent également identifier les risques menaçant la sécurité des réseaux et des systèmes d’information utilisés pour fournir leurs services numériques et prendre les mesures nécessaires, adaptées et proportionnées pour les gérer.

Les mesures prises doivent, compte tenu de l’état des connaissances, garantir un niveau de sécurité prenant en compte les points suivants :

  • la sécurité de systèmes et des installations ;
  • la gestion des incidents ;
  • la gestion de la continuité d’activités ;
  • le suivi, l’audit et le contrôle ainsi que le respect des normes internationales.

Comme pour les opérateurs de services essentiels, les fournisseurs de services en ligne précités doivent également notifier, sans retard injustifié, à l’autorité compétente ou au CSIRT les incidents afin de garantir la continuité de ces services.

La notification par le fournisseur de service numérique d’un incident n’accroît pas la responsabilité de la partie qui en est à l’origine.

La directive NIS apporte toutefois un tempérament à l’obligation faite au fournisseur de service de notifier un incident : l’obligation de notifier ne s’impose au fournisseur de service que lorsqu’il a accès aux informations nécessaires pour l’évaluation de l’impact de l’incident.

De plus, lorsqu’un opérateur de services essentiels fait appel à un fournisseur de service numérique pour fournir un service essentiel au maintien de fonctions critiques, tout impact significatif sur la continuité des services doit être notifié par l’opérateur de services essentiels et non par le fournisseur de service.

L’impact de la directive NIS sur notre actuel cadre juridique

La notion d’ installation d’importance vitale est apparue très tôt dans notre droit avec l’ordonnance du 29 décembre 1953 (2), qui a pour objet le renforcement de la protection des installations d’importance vitale.

La France fait donc figure de pionner au sein de l’UE, puisqu’elle avait identifié dans la loi de programmation militaire du 19 décembre 2013 pour les années 2014 à 2019 un cadre juridique spécifique visant à consolider la sécurité des points d’importance vitale (PIV).

Les différences entre le cadre juridique européen et français existant, avant publication de la directive NIS, porte avant tout sur les concepts utilisés. La directive utilise la notion d’ « Opérateur de service essentiel (OSE) » tandis que les arrêtés sectoriels français utilisent la notion d’« opérateur d’importance vitale (OIV) ».

L’ensemble des exigences en matière de sécurité des activités d’importance vitale figurent dans l’instruction générale interministérielle relative à la sécurité des activités d’importance vitale du 7 janvier 2014 (6).

La France a dès le 7 juillet 2009, décidé la création d’un service à compétence nationale, qui est l’ANSSI. L’ANSSI étant l’autorité nationale en matière de sécurité des systèmes d’information. La France devra dans le cadre de la transposition de la directive NIS simplement notifier à la Commission, si le point de contact unique en France est également l’autorité compétente nationale, à savoir l’ANSSI.

Les dispositions qui sont impactées par la transposition de la directive NIS sont :

  • celles des articles L.1332-1 et suivants de la section I du titre II du Code de la défense ;
  • celles des articles L.1332-6-1 et suivants du Code de la défense relatives à la protection des installations d’importance vitale ;
  • le décret 2015-351 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense ;
  • les trois arrêtés sectoriels relatifs au secteur de l’alimentation, au secteur de la gestion de l’eau et au secteur des produits de santé.

Le décret 2015-350 du 27 mars 2015 qui est relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale n’est donc pas impacté par la directive NSI du fait qu’il concerne les mesures prises par la France pour préserver les fonctions étatiques et notamment la sécurité nationale.

Compte tenu des différences de définitions entre les notions d’opérateur de services essentiels et d’opérateur d’importance vitale utilisée dans les arrêtés sectoriels de la législation française, et dans la mesure où la directive doit être transposée au plus tard le 9 mai 2018, les adaptations à réaliser pour adapter notre législation pour la transposition de la directive NIS sont mineures.

En effet, les décrets précisant les conditions de mise en œuvre de la loi de programmation militaire sont compatibles avec la directive NIS.

En outre, la directive NIS étant une directive d’harmonisation minimale, la France reste libre d’adopter ou de maintenir des dispositions en vue de parvenir à un niveau de sécurité plus élevé que les exigences de la directive. La seule exception résulte des dispositions de l’article 16 paragraphe 10 de la directive NIS qui prévoit que les Etats membres ne peuvent pas imposer aux fournisseurs de service numérique d’autres exigences liées à la sécurité ou aux notifications.

Le retroplanning de transposition de la directive NIS.

Schéma transposition directive NIS

Didier Gazagne
Lexing Cybersecurite et cyberdefense

(a) La notion de « service numérique » s’entend d’un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535.
(1) Directive (UE) 2016/1148 du 6-7-2016.
(2) Ordonnance n° 58-1371 du 29-12-1953 tendant à renforcer la protection des installations d’importance vitale.
(3) Directive (UE) 2015/1535 du Parlement européen et du Conseil prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.
(4) ENISA (European Union Agency for Network and Information Security) – Agence européenne chargée de la sécurité et des réseaux de l’information (Cybersécurité).
(5) Recommandation de la Commission du 6-5-2003 concernant la définition des micro, petites et moyennes entreprises [notifiée sous le numéro C(2003) 1422] (JO L 124 du 20.5.2003, p. 36-41).
(6) Instruction générale interministérielle relative à la sécurité des activités d’importance vitale.




Marétique et systèmes de transport intelligent routier

Marétique et systèmes de transport intelligent routierLa marétique est concernée par le développement des systèmes de transport intelligent au sein de l’Union européenne.

Les institutions européennes souhaitent développer les systèmes de transport intelligent (STI). Cela doit se décliner pour la route mais aussi pour les transports fluviaux et maritimes. Les ambitions de l’Union européenne sont fortes, en particulier elles souhaitent un réseau de transport transeuropéen maritime et fluvial en créant l’axe fluvial Rhin-Meuse-Main-Danube ; des autoroutes de la mer Baltique, de l’arc atlantique (Bilbao-Zeebrugge), de l’Europe du Sud-Est, de la Méditerranée occidentale ; et la liaison fluviale Seine-Escaut. Si les bases de la réglementation des STI pour la route sont posées, le cadre reste à construire pour la marétique.

Pour développer les STI, une directive n°2010/40/UE du 7 juillet 2010 a été publiée. Elle a pour objectif d’assurer le déploiement coordonné et cohérent de STI interopérables dans l’Union européenne. Dans ce cadre des normes et spécifications doivent être adoptées notamment en prenant en compte la coordination des différents modes de transport (1) et en tenant compte des activités qui existent au niveau de l’Union européenne et qui sont pertinentes pour ce qui est des STI (2).

Le droit français a transposé cette directive et défini dans le Code des transports les systèmes de transport intelligent comme des dispositifs utilisant des technologies de l’informatique et des communications électroniques mis en œuvre dans le secteur du transport routier et ses interfaces avec d’autres modes de transport (3).

Cette définition ne s’applique pas directement à la marétique : l’Union européenne comme la France souhaitent réglementer en priorité les STI routier. Toutefois, la directive comme le Code des transports prennent justement en considération le fait que le transport routier est intimement lié aux autres moyens de transport. L’interface des transports routiers avec d’autres modes de transport est mise en avant par cette réglementation (4). Une continuité et une intermodalité homogène des systèmes de transport intelligent permettront ainsi une cohérence des services pour la mobilité des européens.

La prise en compte de la marétique dans ces projets sera donc essentielle afin notamment de mettre en place des technologies informatiques et de communications électroniques dans le projet européen de réseaux de transport transeuropéen. C’est cette cohérence d’ensemble que les institutions de l’Union européenne recherchent.

Les projets informatiques de cette envergure doivent faire l’objet de contrats informatiques globaux afin que ces services soient assurés et juridiquement sécurisés tout en offrant une intermodalité technologique forte.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Droit Informatique

(1) La norme ISO/PAS 16917 : 2002.
(2) Directive 2010/40/UE du 7-7-2010.
(3) C. transp. art. L513-1.
(4) Directive 2010/40/UE du 7-7-2010.




Marétique : les enjeux technologiques et juridiques

Marétique : les enjeux technologiques et juridiquesLe domaine maritime est un point de concentration de flux électronique d’informations à travers la marétique (1).

La marétique point de concentration et d’évolution technologiques. La marétique est l’ensemble des systèmes informatiques et électroniques utilisés dans l’automatisation d’opérations relatives aux activités associées à la mer. Il est constitué du terme « Mare » (mer en latin) et de la terminaison « tique » pour informatique. Une partie de cette activité est également dénommée navigation intelligente.

Les technologies auxquelles la marétique s’appliquent sont variées car elles couvrent la modélisation mathématique, le modèle numérique haute résolution, le calcul algorithmique, la réalité virtuelle, la 3D, le rendu réaliste, la génération de formes (2).

E-navigation. Les chantiers actuels visent à identifier les besoins des utilisateurs et les solutions potentielles dans ce domaine. Un plan stratégique qui présente cinq priorités a été proposé. Ces priorités tiennent essentiellement à l’amélioration de la communication entre navires et de quai à quai, à la fiabilité et l’harmonisation dans la conception des ponts, et à l’intégration et la présentation des informations sur les interfaces graphiques reçues par les équipements (3).

Des problématiques multiples et complexes encadrent la marétique :

  • l’encadrement juridique des nouveaux besoins qui expliquent l’apparition de ces technologies ; notamment en matière de e-navigation, de transmission de données personnelles, ou de logiciel spécifique (4) ;
  • la propriété des données générées et collectées par les navires et dans les ports ;
  • la mise en œuvre de normes obligatoires de sécurité dans le domaine maritime.

Marétique et Union européenne. Pour accompagner l’émergence et le développement de ces nouvelles technologies, l’Union européenne a déjà œuvré à l’harmonisation d’un cadre juridique (5). L’Union Européenne poste les bases juridiques à l’interopérabilité technique en ce domaine.

Anticipation juridique. Les prestataires de services IT doivent s’engager dans ce marché dynamique en travaillant de concert avec les chantiers de constructions maritimes. Ainsi, ces collaborations peuvent elles se structurer sur la base de joint venture ou contrat de consortium.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Droit Informatique

(1) Philippe Garo, « L’adaptation du droit des transports maritimes au droit du commerce électronique » : AFDM, 17-10-2013.
(2) CCI Le Havre, Définition de la marétique.
(3) Organisation maritime internationale (OMI), Définition de l’e-navigation.
(4) CCI Le Havre, magazine Repères n°99 11/12-2010.
(5) Rapport européen COM(2014) 642 final du 21-10-2014.




Cybersécurité : comment l’optimiser au service du business ?

Cybersécurité : comment l'optimiser au service du business ?Cybersécurité : comment l’optimiser au service du business ? Telle était la thématique de l’événement « INSIGHTS by ALTEN » organisé le mardi 9 décembre 2014 à Paris, en collaboration avec AKERVA. De nombreux clients et partenaires étaient présents pour échanger autour de ce sujet d’actualité et bénéficier des points de vue d’experts de différents horizons.

Parmi les invités, Polyanna Bigle, Avocat et Directeur du département sécurité SI et dématérialisation du Cabinet Alain Bensoussan, a présenté les risques juridiques auxquels s’exposent les entreprises et précisé que l’intégration de la cybersécurité aux contrats représente un réel atout concurrentiel.

Force est de constater que les directives portées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) sont de plus en plus souvent mentionnées dans les appels d’offre.

Que ce soit de l’intérieur, avec des risques d’actes illicites de la part des employés, ou de l’extérieur, notamment via les prestataires, la cybermenace plane. Maître Polyanna Bigle rappelle que l’obligation de sécuriser le SI relève de la responsabilité du dirigeant et préconise la mise en place d’outils de régulation, tout en insistant sur l’information, la sensibilisation et la simplification.

Visionnez la vidéo sur notre chaîne Lexing Alain Bensoussan Avocats sur YouTube




Un Code métier dédié aux systèmes d’information

Un Code métier dédié aux systèmes d'information Code métier – Alain Bensoussan répond aux questions de Eric Bonnet pour la Semaine Juridique à l’occasion de la sortie du Code métier « Informatique, fichiers et libertés », livre paru aux Éditions Larcier en octobre 2014.

Un tel outil n’existait pas alors même que les systèmes d’information sont au cœur de la moindre activité économique ou sociale. Ces systèmes fonctionnent en grande partie grâce aux données à caractère personnel. Elles en sont même la matière première. Le droit qui assure la protection de ces données est donc appelé à prendre une place de plus en plus importante tant par l’ampleur des traitements que la diversité des situations pouvant porter atteinte aux droits et libertés des personnes. L’autre caractéristique de ce droit est d’être en constante évolution, à l’image des technologies auxquelles il s’applique.

Le droit à l’oubli et à l’effacement en est le meilleur exemple : la disponibilité instantanée des données, conjuguée aux capacités de stockage illimitées, rend plus que jamais nécessaire l’instauration de ce droit.

Les technologies des systèmes d’information permettent tant aux entreprises privées qu’aux pouvoirs publics d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. La protection des données à caractère personnel est donc appelée à jouer un rôle crucial.

Ainsi, tout comme le Code civil régit l’ensemble des règles qui déterminent le statut des personnes, celui des biens et des relations entre les personnes privées, il paraît indispensable aujourd’hui de pouvoir disposer d’un code dédié aux activités mettant en œuvre un système d’information.

« 3 questions à Alain Bensoussan« , JCP G 2014, prat. 1131, octobre 2014.
Cet article est mis en ligne avec l’autorisation des éditions LexisNexis et de la Revue La Semaine juridique Édition générale.

 




Sécurité des systèmes d’information de santé

Sécurité des systèmes d’information de santé Un guide de la sécurité des Systèmes d’Information de santé des établissements de santé a été publié par la Direction Générale de l’Offre de Soins (DGOS) a publié, courant du mois de novembre 2013  (1). 

La confidentialité et l’intégrité des données sensibles, ainsi que la continuité des soins doivent en effet constituer les préoccupations majeures des établissements de santé en termes de sécurité du SI.

Le guide s’intègre à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) dont le corpus documentaire continue donc à s’étoffer. La PGSSI-S, déjà constituée de quelques documents pivots (principes fondateurs, référentiels thématiques de sécurité, guides pratiques et juridiques) est en effet en cours d’élaboration.

Le guide de la DGOS a cependant vocation à constituer un outil autonome et pratique qui décrit la démarche de sécurité des systèmes d’information de santé à mettre en œuvre aux établissements de santé et contient des recommandations pratiques. Il participe à la fourniture, aux Directions des établissements de santé (DG, Président de la Commission Médicale d’Etablissement, Directeur des soins, DSI, etc.), tant publics que privés, des clés pratiques en vue de la sécurité des SI et de l’initialisation de démarches pérennes.

Les points clés de la démarche de sécurité des systèmes d’information de santé s’articulent autour des 10 fiches pratiques suivantes :

– les enjeux de la sécurité de l’information pour l’établissement de santé. Les risques internes ou externes qui pèsent sur l’établissement sont, à cette occasion, mis en évidence ;
– la maîtrise de la sécurité du système d’information. L’intégrité, la confidentialité des informations médicales ainsi que la continuité des soins sont placées au cœur des objectifs de l’établissement ;
– la définition de la sécurité du système d’information dans les établissements de santé. La mise en œuvre d’un plan de sauvegarde ainsi que d’un plan de reprise et de continuité de l’activité sont présentés comme incontournable ;
– la direction : acteur important de la démarche de sécurité ;
– les pré-requis : un diagnostic et une gouvernance sécurité ;
– la sécurité avant d’autres projets : le bon arbitrage ;
– les facteurs clés de succès de la démarche ;
– la communication : un levier essentiel ;
– la documentation sécurité : un minimum, constitué notamment d’une cartographie des risques, d’une politique de sécurité du système d’information et d’une charte d’utilisation du système d’information et de télécommunication, est nécessaire ;
– les coûts de la sécurité.

Marguerite Brac de La Perrière
Lexing Droit Santé numérique

(1) Guide pour les Directeurs d’établissement de santé, DGOS, nov. 2013.




Cnil : Procédure en ligne de notification des violations de données

Cnil : Procédure en ligne de notification des violations de donnéesLa Cnil a créé sa procédure en ligne de notification des violations de données personnelles le 23 août 2013 (1). Cette procédure, effective depuis le 25 août, fait suite à la publication du règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel qui impose aux autorités de protection des données de mettre à disposition des fournisseurs de communications électroniques une procédure de notification des violations de données à caractère personnel.

Pour rappel, l’obligation de notification, qui incombe pour l’heure uniquement aux fournisseurs de communications électroniques, résulte de la ratification de la directive Paquet Telecom, qui a été transposée à l’article 34 bis de la loi Informatique et libertés.

Dès lors, si un fournisseur de communications électroniques constate une violation de données personnelles, il devra utiliser le formulaire téléchargeable sur le site internet de la Cnil, lequel pourra être adressé par la même voie. La Cnil met également à leur disposition un outil d’aide à l’analyse du degré de gravité de la violation de données personnelles.

Cette télé-procédure sera probablement étendue dans un futur proche, dans la mesure où le projet de règlement européen de protection des données à caractère personnel du 25 janvier 2012 prévoit l’extension de l’obligation de notification à tous les responsables de traitement.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
Caroline Macé
Lexing Droit Informatique et libertés contentieux

(1) Cnil, Rubrique Actualité, article du 23-8-2013




EUROJUST : Entraide Pénale Internationale

Entraide Pénale InternationaleL’Ordonnance n° 2011-1069 du 8 septembre 2011 a transposé la décision-cadre 2006/960/JAI du Conseil du 18 décembre 2006 relative à l’ entraide pénale internationale

La décision porte sur la simplification de l’échange d’informations et de renseignements entre les services répressifs des Etats membres de l’Union européenne. Elle prévoir des dispositions intitulées :

« De l’échange simplifié d’informations entre services en application de la décision-cadre du Conseil de l’Union européenne du 18 décembre 2006 » (art. 695-9-31 à 695-9-49) au chapitre II du titre X du livre IV du Code de procédure pénale (CPP).

Entraide Pénale Internationale

Il a ainsi transposé la décision-cadre 2006/960/JAI relative à la simplification de l’échange d’informations et de renseignements entre les services répressifs des Etats membres de l’Union européenne.

Ce texte, notamment par l’article 695-9-46 du CPP qui préconise la transmission aux unités EUROJUST et EUROPOL, ainsi que la Circulaire du 2 août 2011 portant sur l’obligation d’information de l’Unité EUROJUST vont permettre l’application de l’article 695-9 du CPP qui dispose en son alinéa 3 :

« Le représentant national est informé par le procureur général des affaires susceptibles d’entrer dans le champ de compétence d’EUROJUST et qui concernent au moins deux autres Etats membres de l’UE » notamment en cas d’ »attaques visant les systèmes d’information ».

En effet, la capacité des services d’enquête de lutter contre la criminalité dépend largement de leur aptitude à obtenir et à échanger très rapidement des informations. Toutefois, l’obtention auprès d’autres Etats membres des informations nécessaires est souvent difficile, notamment parce que, en raison de sa lenteur, elle est difficilement compatible avec la célérité nécessaire aux enquêtes pénales.

Cette situation résulte notamment de l’hétérogénéité tant des législations des Etats membres que de leurs structures administratives et de leurs procédures de collecte et de mise en commun des informations au niveau international.

Ordonnance n° 2011-1069 du 8 septembre 2011 (JORF n°0209 du 9-9-2011 p. 15200 texte n° 19)
Rapport au Président de la République relatif à l’ordonnance (JORF n°0209 du 9-9-2011 p. 15198 texte n° 18)
Circulaire du 2 août 2011 (BOMJL n°2011-08 du 31-8-2011 – CRIM-11-21/PNT)