
Nadège Vanneste
Directrice des Services de l'Information et de l'Organisation de l'association IRSAM
🐙 Pouvez-vous nous parler des exercices de gestion de crise mis en place au sein de l’association IRSAM (Institut Régional des Sourds et Aveugles de Marseille) ?
👉 Pour réaliser l’exercice de gestion de crise cyber, nous avons mobilisé les fonctions essentielles à la gestion de crise, soit la direction générale, moi-même, le RSI/RSSI, le service communication et également le responsable du déploiement du dossier usager.
En amont de l’exercice, un guide nous est transmis. Il permet de comprendre ce qu’est une crise cyber, dans sa globalité, et nous précise les modalités de l’exercice.
Suite à l’exercice, il y a eu deux phases de debriefing : une à chaud, dans la foulée, et une seconde quelques semaines plus tard.
Sur le terrain, la participation à cet exercice a conduit à la mise en place de plans d’action. Nous nous sommes ainsi très vite rendu compte que le plan de reprise et de continuité d’activité nous manquait. Cela a donc appuyé notre volonté de nous engager dans ces travaux.
Si le scénario est très éprouvé, nous avons tout de même eu un léger décalage du fait que nous comptons une trentaine de sites avec des critères qui s’appliquent soit par site, soit de manière globale. Cet aspect n’était pas vraiment pris en compte dans l’exercice. Les directeurs des autres sites étaient acteurs car sollicités par la cellule de crise mais ils n’en faisaient pas partie. Pour le prochain exercice, je me demande dans quelle mesure nous pourrions prévoir d’inclure des directeurs ou représentants des établissements afin qu’ils puissent participer à la cellule de crise, ou du moins au debriefing avec la création d’une séquence qui leur serait dédiée.
C’était une expérience vraiment riche et intéressante. Cela a permis aux acteurs, et notamment à la direction générale, de comprendre réellement ce qu’est une crise cyber et de s’y préparer.
Il est très important que le secteur médico-social soit intégré dans cette dynamique car les établissements ont souvent le sentiment que la menace ne concerne que les GHT et les gros établissements. Le risque zéro n’existe pas et les structures sociales et médico-sociales sont des cibles.
Cette sensibilisation est donc primordiale car nous devons nous préparer.
La cybersécurité c’est finalement beaucoup d’organisation et de pragmatisme.
🐙 Vous avez participé à la création d’une méthodologie “simplifiée”, adaptée au secteur médico-social pour créer un PCA-PRA. Pouvez-vous nous en parler ?
👉 Le secteur social et médico-social n’a pas forcément les organisations et les ressources adaptées pour travailler sur ce genre de sujet. Bien souvent ce sont les directeurs d’établissements, voire les responsables qualité, qui vont se saisir de ce sujet qui est au-delà de leur périmètre.
L’objet du kit est ainsi de proposer une méthodologie simplifiée, qui s’appuie sur la méthode standard. Cette simplification permet d’étayer avec des définitions pour expliquer notamment ce qu’est un plan de continuité d’activité, quelles en sont les différentes étapes, mais aussi d’illustrer avec des éléments propres au secteur pour donner du sens à cette méthode.
Le kit se compose de deux livrables :
Le premier outil, très synthétique, va fournir les éléments clés, les lignes conductrices et des éléments pratico-pratiques. Cet outil est facile à appréhender, même par quelqu’un dont ce n’est pas le métier.
Le second outil est un guide constitué de fiches pratiques pour chaque étape de la méthode.
En tant que DSIO de l’IRSAM, je me suis donc portée volontaire pour tester, avec mes collègues, cette méthodologie.
Au sein de l’association IRSAM, nous avons un RSSI qui a déjà établi un diagnostic sur le volet SSI. Aujourd’hui, nous avons décidé de différer cette mission, à l’exception faite de certains correctifs urgents. Nous allons nous concentrer sur nos objectifs de continuité d’activité pour ensuite décliner un plan de continuité informatique, car les mesures techniques vont venir en réponse aux enjeux organisationnels. La continuité d’activité est une question d’organisation et non une question informatique, et l’identification des process critiques et des attentes de continuité doivent être donnée par le métier.
Concernant l’expérimentation de la méthodologie, nous allons également la tester sur une structure composée de deux sites. Cette structure, plus petite et avec moins de technicité, aura certainement beaucoup plus d’agilité. Je pense que ces deux regards croisés sur le guide seront complémentaires.
🐙 Que pensez-vous de la mise en place d’une “boîte à outils” dans laquelle les établissements médico-sociaux pourraient venir piocher des prestations flash ?
👉 C’est très intéressant de pouvoir s’appuyer sur des services et des offres qui sont déjà négociés et packagés. Nous n’avons pas forcément les compétences pour aller chercher les marchés et les étudier. En ce qui concerne la cybersécurité, il y a des sujets comme les diagnostics, les tests d’intrusion mais également les solutions EDR.
Faciliter l’achat en proposant un catalogue de services serait très adapté au secteur médico-social. Ce type d’offre serait d’ailleurs intéressant sur le SI de manière plus globale.
Il y a également un intérêt à avoir d’autres types de prestations mutualisées, comme des DSI ou RSSI mutualisés, pour piloter mais également des ressources purement opérationnelles.
Le programme ESMS numérique a cette volonté, au-delà d’équiper le secteur en dossier usager informatisé, de favoriser la mutualisation autour de la question du SI.
Sur cette question des SI, le secteur médico-social se prête à la mutualisation aujourd’hui.