Jean-Claude Larduinat : Quand j’ai pris la direction générale du groupe il y a cinq ans, j’ai très vite décrété que les systèmes d’information et la protection des données seraient stratégiques pour le groupe. L’appropriation et les contraintes liées aux outils numériques sont des sujets qui passent encore par dessus la tête des professionnels de notre secteur. L’idée était de sensibiliser à la sécurité des systèmes d’information, un volet à part entière de la gestion des risques. Depuis une dizaine d’années, le groupe s’est doté d’une charte informatique pour les utilisateurs et les prestataires. Chaque collaborateur a un identifiant et un mot de passe qui change tous les six mois. Cette mesure a suscité des résistances mais elle est désormais entrée dans les pratiques. Nous venons également de mettre en place une messagerie sécurisée pour les professionnels de santé.
Patrice Penin : On a également un niveau de filtrage sur Internet pour éviter les cryptolockers et réduire les menaces qui viennent d’une mauvaise manipulation des utilisateurs. L’assistance informatique grâce à la traçabilité et au suivi des incidents des demandes d’intervention est un point d’entrée pour rappeler aux salariés les bonnes pratiques. Nous organisons également un séminaire d’accueil pour les nouveaux arrivants au cours duquel on sensibilise à la sécurité des systèmes d’information. Nous consultons chaque jour le Centre gouvernemental de veille d’alerte et de réponse aux attaques informatiques, qui publie régulièrement les vulnérabilités dans la plupart des outils Microsoft ou applicatifs Adobe Reader, par exemple le navigateur Internet, et les changements à apporter dans notre infrastructure à chaque fois que l’on voit une menace. Ces mesures nous permettent de réduire la surface d’attaque en mettant en place des correctifs.
P. P. : La nouveauté introduite par le RGPD est d’éduquer les utilisateurs sur le traitement des données personnelles. Le RGPD pourrait être vu comme une contrainte réglementaire mais le groupe le voit comme une opportunité pour favoriser les bonnes pratiques. Le groupe a également nommé un délégué à la protection des données (DPD), qui est notamment chargé d’inventorier l’ensemble des traitements de données, de mener des analyses d’impacts et des campagnes de sensibilisation auprès des établissements via notamment des guides pratiques.
J.-C. L. : Entre 50 000 € chargés du salaire de notre DPD et 200 000 € ou 300 000 € de pénalités si le groupe ne respecte pas les obligations du RGPD, nous avons vite fait le choix.
P. P. : Oui, en effet. Nous avons fait de la sensibilisation auprès d’associations partenaires sur les risques encourus mais on prêche encore dans le désert. Personne ne prend en compte les menaces, et beaucoup pensent encore que c’est de la science-fiction ! Et pourtant la menace existe. Les données de santé se valorisent sur le Darknet. Crypter des données d’un établissement médico-social et demander une rançon, cela peut intéresser des cybercriminels.
J.-C. L. : La sécurité des systèmes d’information va être un levier plus efficace pour le regroupement des organismes gestionnaires. Pour le secteur non lucratif, des prérequis informatiques de plus en plus compliqués seront à mettre en place et dès lors des regroupements d’établissements seront incontournables.
Constitué en 1999 à l’initiative de la congrégation des Sœurs du Très-Saint-Sauveur, le Groupe Saint-Sauveur, association à but non lucratif, gère, en Alsace, 15 établissements et services regroupés en quatre pôles (santé, enfance, handicap, seniors). Ils représentent plus de 460 lits sanitaires et médico-sociaux, et 300 places d’accueil pour enfants et adultes handicapés.