Le monde numérique dans lequel nous vivons aujourd’hui, bien que bénéfique à bien des égards, comporte également son lot de défis. Parmi ceux-ci, la sécurité des systèmes d’information revêt une importance cruciale, en particulier dans les secteurs d’importance vitale tels que les établissements de santé. Face à ce besoin, l’Arrêté du 17 avril 2023 est venu établir un cadre renforcé pour la protection des systèmes d’information d’importance vitale (SIIV).
L’Arrêté fixe des règles de sécurité spécifiques à respecter par les opérateurs d’importance vitale (OIV) dans le sous-secteur des établissements de santé. Il établit également les modalités de déclaration des incidents de sécurité concernant ces systèmes d’information.
Un point central de l’arrêté est l’importance accordée aux indicateurs de sécurité. Les OIV sont tenus d’évaluer et de maintenir à jour une série d’indicateurs liés à la sécurité des ressources, aux droits d’accès des utilisateurs, à l’authentification des accès aux ressources et à l’administration des ressources.
Exclusivité DPO PARTAGE
Vos questions sur le RGPD
Gratuitement, poser vos questions sur la conformité RGPD.
Une réponse sous 24/48h à votre problématique.
En outre, des règles spécifiques ont été définies pour assurer que les systèmes sont maintenus à jour, que les droits d’accès sont contrôlés de manière appropriée, et que l’administration des ressources se fait de manière sécurisée. Tout cela contribue à renforcer la sécurité des systèmes d’information d’importance vitale dans les établissements de santé.
Cependant, la conformité à ces nouvelles règles demande aux OIV une attention soutenue et une mise à jour constante de leurs pratiques de sécurité. En effet, l’arrêté exige que les opérateurs précisent la méthode d’évaluation employée pour chaque indicateur et, le cas échéant, la marge d’incertitude de leur évaluation. En cas d’évolution significative d’un indicateur par rapport à l’évaluation précédente, l’opérateur doit en préciser les raisons.
Finalement, il est important de souligner que l’Arrêté du 17 avril 2023 place la communication au cœur de son dispositif de sécurité. Les opérateurs sont tenus de communiquer une fois par an à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ces indicateurs mis à jour.
Pour les établissements de santé, cet arrêté constitue une étape importante dans la consolidation de la sécurité de leurs systèmes d’information. Il souligne l’importance d’une approche proactive de la sécurité, dans un contexte où la protection des données et des systèmes d’information est plus que jamais cruciale.
