« Si vous ne payez pas la somme demandée, vous perdrez toutes vos données. » C’est en substance le message qu’a reçu il y a cinq ans la Sauvegarde de l’enfance 44, structure de la protection de l’enfance, aujourd’hui fusionnée dans une association nommée Linkiaa. A l’époque, l’établissement est victime d’une cyberattaque via les boîtes e-mail des salariés. Impossible de lire un seul document car tous sont cryptés depuis qu’un ou plusieurs professionnels ont cliqué sur un lien contenant un virus. Surtout, il existe un risque réel que les données de l’établissement fuitent, comme l’explique Cyril Durand, directeur général de Linkiaa. « Comme on a une culture de l’anticipation des risques au sein de l’association, on a immédiatement coupé le système et restaurer des sauvegardes. » Depuis les années 2000 déjà, l’association avait mené un travail sur les systèmes d’information. « Nous n’avions pas misé sur une attaque de nos réseaux. Mais on avait pris conscience que sans système d’information, on ne pouvait plus travailler. On a donc décidé d’avoir une compétence en interne pour assurer une continuité de services. » Et la structure est même allée plus loin, en garantissant un triple niveau de sécurité. A cette compétence embarquée ont été adjoints un responsable des systèmes d’information et un prestataire extérieur. « Ce professionnel en interne, qui détient une expertise spécifique, est une force. Mais il peut aussi être une faiblesse si l’on s’en contente car il est le seul à comprendre le langage qu’il utilise. D’où la volonté de doubler cette compétence en externe pour venir en appui ponctuel, lorsqu’il n’est pas là ou en période de crise majeure. »
En mars 2020, changement de décor : comme ailleurs, la Covid-19 bouscule la structure, obligée d’écrire en un temps record un plan de continuité des activités (PCA). « On avait quelques procédures, imaginé une cellule de crise, mais pas écrit de PCA, explique Cyril Durand. On s’est inspirés de travaux réalisés par les fédérations dont nous sommes membres comme Nexem pour en rédiger un. A ce jour, il a été révisé neuf fois, en fonction des décisions gouvernementales et des contraintes sanitaires. Il a fallu spécifier comment garder le lien entre enfants et parents, organiser les droits de visite, s’adapter si on avait un cas de Covid-19 dans une structure, gérer l’amplitude horaire en cas d’absence des professionnels… » Chaque fois, les membres du comité social et économique ont été consultés et ont donné un avis unanime. Sauf une fois, après l’apparition d’un conflit social au sein de l’établissement.