Conférence AFCDP : NIS2 une opportunité pour la sécurité du secteur de la santé

janvier 2024 par Marc Jacob

L’AFDCP a organisé une conférence sur le thème « NIS 2 : quels impacts pour les acteurs de santé ? » qui a regroupé autour de Nicolas Samarq Administrateur et Trésorier de l’AFCDP, fondateur du groupe AFCDP « données de santé » : Anne Sophie Bouy, animatrice et Présidente de la Commission santé de Numeum, Hélène Guimiot-Breaud, Cheffe du service de la santé de la CNIL, Kahina Haddad, DPO de Claranet, Nicolas Milleville, DPO/RSSI du Groupe HSTV (Hospitalité Saint Thomas de Villeneuve), Sylvėre Ruellan, Chef du bureau Santé et affaires sociales de l’ANSSI. Pour les intervenants, NIS2 devrait être une opportunité pour augmenter le niveau de sécurité des professionnels de santé. Toutefois, si au départ la pédagogie sera de mise les sanctions pour les plus récalcitrants et tarderont pas être prises.

En préambule, Sylvėre Ruellan de l’ANSSI, annonce que NIS2 est venu pour répondre au problème de l’accroissement de la cybercriminalité. Ainsi, tout type de structure est attaqué du Zoo de Toronto à des établissements de santé de grandes et de petites tailles.

Le périmètre dans le secteur de santé qui est concerné par NIS2 est assez large. Il y a des établissements les plus grands qui sont qualifiées d’Essentiel et les plus petits sont qualifiés d’Important. Par contre, les toutes petites organisations ne seront pas concernées. Les fournisseurs de Cloud spécialisés dans la santé de même que les centres de recherches sont aussi concernés par NIS2. Les entités concernées devront se déclarer à l’ANSSI en communiquant un contact au sein de leur entité. Les incidents devront être déclarés à l’ANSSI. Enfin des règles de cybersécurité devront être mises en œuvre avec la protection, la gouvernance, la défense et la résilience des SI. 20 objectifs de sécurité seront applicables aux acteurs qualifiés d’essentiel.

Il rappelle qu’une consultation vient de se terminer le 12 janvier entre les ministères et les organisations professionnelles. La finalisation devra être effective en octobre 2024. Sylvėre Ruellan de l’ANSSI explique que la consultation va permettre d’ajuster les exigences nécessaires. Au niveau de la communication un nouveau mode de travail a été initié en tissant des liens avec 13 fédérations de santé.

Anne-Sophie Bouy explique que Numeum représente les acteurs régulés mais aussi les experts en cybersécurité et les entreprises concernés comme les sous-traitants spécialisés dans le domaine de la santé. Son organisation se pose des questions quant à l’organisation de NIS2 avec les autres réglementations comme le RGPD la loi de programmation militaire... mais aussi concernant l’accompagnement nécessaire pour arriver à la conformité à NIS2 ? De même, comment les acteurs vont se reconnaître comme étant concernés par ces directives puisque NIS2 impose une auto-déclaration ?

En termes de données et des sous-traitants NIS2 est proche du RGPD

Pour sa part, Hélène Guimiot-Breaud de la CNIL rappelle que le Secteur de la santé est très dynamique au niveau du traitement des données à caractère personnel. Ce secteur est assujetti à un empilement de texte. Ceci implique un enjeu de lisibilité et de cohérence des textes. A la CNIL, NIS2 est vu d’un très bon œil, mais sous réserve qu’elle soit lisible et manipulable par les acteurs de la santé. Pour les professionnels de la santé ce qui compte c’est l’intégrité des données leur conservation et leur accessibilité.

NIS2 est proche du RGPD sur la protection des données et sur les sous-traitants. NIS2 va étendre les exigences de sécurité pour les sous-traitants.

NIS2 un texte supplémentaire qu’il va falloir harmoniser avec les autres règlementations

Nicolas Milleville DPO/RSSI du Groupe HSTV explique qu’au sein de sa structure une stratégie a été défini une sur la partie organisationnelle et la gouvernance. Pour lui, NIS2 est un texte supplémentaire qu’il va falloir harmoniser dans son plan d’action. Sur la partie assistance technique et exploitation, il va falloir expliquer aux médecins et aux acteurs de santé les implications dans les briques existantes avec à la fin un décommissionnement des applications obsolètes. Il va falloir effectuer un plan d’action avec le maximum d’acteur.

Kahina Haddad de Claranet explique que les sous-traitants doivent bien connaître leur périmètre de responsabilité et celui de leurs clients. Ainsi un contrat sans ambiguïté, au sens de l’article 28 du RGPD, doit être mis en œuvre. Un système de management doit être aussi élaboré. Claranet a mis en place un portail pour les clients avec par exemple les notifications d’incidente de sécurité, les clauses du contrat, les contacts, la liste des sous-traitants... SMC est le portail de Système de Management de Claranet qui est un outil de pilotage de la sécurité afin de maintenir son niveau de conformité. Il inclut la norme ISO27001, HDS, ISO27701 pour le PIMS. Il est fondé sur une cartographie des processus métier. Ainsi le nouveau référentiel NIS2 sera intégré dans ce SMC.

Nicolas Milleville explique que lorsqu’il demande des documents sur la politique de gestion des mots de passe, les politiques d’impacts, le registre des traitements... Il a parfois des difficultés à les obtenir surtout avec les petits sous-traitants.

Sylvėre Ruellan annonce que le régime de sanction dans NIS2 se renforce et est modulé en fonction des types d’acteurs Essentiels ou Importants. De même des sanctions pour les dirigeants sont instituées. Pour les acteurs essentiels les montants de l’amende seront de l’ordre de 2% du CA. Concernant ce volet Hélène Guimiot-Breaud rappelle que la CNIL et l’ANSSI ont l’habitude de travailler ensemble, donc concernant NIS2 il en sera de même.

Par contre dans un premier temps, tant Sylvère Ruellan que Hélène Guimiot-Breaud ont rappelé qu’au début de la mise en place de NIS2 il ne s’agira pas de sanctionner mais de faire de la pédagogie.

Anne-Sophie Bouy considère que les autres acteurs européens sont plus en avance sur les français dans ce domaine. Est-ce que NIS2 va augmenter le niveau de sécurité des données ? Elle considère que NIS2 va rassurer et éduquer la population sur la sécurité des données de santé. Elle devrait permettre de faire des économies, mais aussi d’améliorer la connaissance des populations dans les territoires.

Pour Hélène Guimiot-Breaud de la CNIL les enjeux concernant les données n’est pas le même entre l’utilisation des données dans la recherche et pour la santé. De ce fait les exigences de NIS2 j’étais peuvent être différentes. Il faut faire un travail de pédagogie auprès des professionnels de santé. Elle a fait un focus sur le référentiel entrepôt dans le domaine de la recherche médicale d’une part la manière dont on stocke les données et dans lesquels on les réutilise. Par exemple l’accès doit être réservé exclusivement à des chercheurs.

La CNIL a prévu de remette sur les métiers les référentiels du domaine spécifique de la santé de même pour les entrepôts avec une consultation au préalable des professionnels de santé pour aboutir à des textes qui correspondent aux besoins des professionnels.