17.3433 · Postulat · 2017-06-13
Département de l'intérieur
Liquidé
Wortlaut
Le Conseil fédéral est chargé d'examiner, en collaboration avec les spécialistes et les cantons, une stratégie, les mesures institutionnelles nécessaires et des mesures visant à renforcer la sécurité informatique dans le domaine de la santé et de montrer quand et comment elles pourraient être mises en oeuvre et si de nouvelles bases légales sont nécessaires à cet effet. Il examinera en particulier les mesures suivantes :
1. regroupement du savoir-faire et des ressources de la Confédération et des cantons en matière de sécurité informatique dans le domaine de la santé en prévision de différents scénarios tels que la sécurité informatique au quotidien, des attaques coordonnées de pirates informatiques sur le modèle du maliciel Wanna Cry et des attaques massives, très complexes et généralisées de pirates informatiques à une échelle stratégique ; on clarifiera à cet égard qui fournit les prestations et qui supporte les coûts ;
2. développement de capacités d'attaques informatiques ou recours à des pirates informatiques pour tester les mesures de défense ;
3. mise en place de ressources supplémentaires, sur les plans tant qualitatifs que quantitatifs, pour garantir en tout temps une alerte précoce et un soutien en cas d'attaques informatiques ;
4. information des hôpitaux sur les résultats détaillés de l'analyse des risques et des vulnérabilités que l'Office fédéral de la protection de la population tient confidentielle ;
5. introduction d'une obligation de notifier les incidents de sécurité informatique, notamment pour les hôpitaux et les institutions de santé ; mise en place d'un système d'alerte et de recommandations sur les meilleures pratiques ;
6. contrôle et adaptation des standards minimaux en matière de sécurité aux défis que pose la sécurité informatique pour les appareils tels que les instruments servant à poser un diagnostic ou à procéder à des analyses, des mesures ou des traitements et les machines qui maintiennent les patients en vie ;
7. conclusion de conventions avec les cantons sur des prescriptions minimales harmonisées en matière de sécurité informatique dans les hôpitaux (programmes de cyberintelligence, par ex.) et en matière de redondance et de protection contre les pannes ;
8. possibilités de certifier la sécurité des composants du matériel informatique et des logiciels.
Begründung
Dans sa réponse à l'interpellation Heim 17.3136, le Conseil fédéral souligne la responsabilité individuelle des hôpitaux, sans mentionner son analyse des risques et des vulnérabilités dans le domaine de la santé. Il conteste le nécessité d'une stratégie globale de sécurité informatique et mentionne la collaboration (facultative) entre la Centrale d'enregistrement et d'analyse pour la sûreté de l'information et le secteur médical. Or, l'Union européenne prévoit une obligation de notifier les incidents de sécurité informatique. Il est urgent d'examiner et de mettre en oeuvre une obligation de notification des incidents de sécurité informatique, des mesures de sécurité informatique dans les hôpitaux et le renforcement de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral est conscient du fait qu'un niveau élevé de sécurité des données et de cybersécurité dans le secteur de la santé est une condition essentielle pour que la population, les patients mais aussi les professionnels de la santé fassent confiance aux applications de cybersanté, à l'instar du dossier électronique du patient. Une protection suffisante des données numériques s'avère cruciale dans l'optique d'une interconnexion à grande échelle du système de santé. C'est seulement ainsi qu'on parviendra à concrétiser dans ce secteur les avantages attendus des progrès constants de la numérisation, sur le plan de la qualité des traitements, de la sécurité des patients et de l'efficacité des soins.
La Confédération et les cantons sont en train d'élaborer conjointement, dans le cadre de la mise en oeuvre de la stratégie "Suisse numérique" adoptée par le Conseil fédéral en avril 2016, la Stratégie Cybersanté (eHealth) Suisse 2.0. Cette refonte d'une première version de 2007 mettra notamment l'accent sur la protection des données, la sécurité des données et la cybersécurité. À cet effet, les services fédéraux compétents (OFSP, UPIC, OFPP, etc.) prépareront avec l'aide d'experts, conjointement avec les cantons et les autres acteurs concernés, des mesures concrètes destinées à améliorer la sécurité des données et la cybersécurité dans le domaine de la santé. La mise en oeuvre des mesures préconisées dans le présent postulat sera examinée dans ce cadre.
En outre, la résilience du secteur critique "Soins médicaux et hôpitaux" a déjà été testée dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques ainsi que de la Stratégie nationale pour la protection des infrastructures critiques, et des mesures visant à l'améliorer ont été adoptées entre-temps, sur la base des résultats obtenus. Les travaux entrepris portent notamment sur les vulnérabilités des technologies de l'information et de la communication et sur les cyberrisques.
Compte tenu de ce qui précède, le Conseil fédéral estime que les exigences du postulat sont déjà satisfaites et propose donc de le rejeter.
Le Conseil fédéral propose de rejeter le postulat.