Harmoniser les outils cyber de l'ensemble du Groupe - ORSAC

L’ORSAC est une association reconnue d’utilité publique qui accompagne les établissements du sanitaire, du médico-social et du social (des EHPAD, des hôpitaux, des cliniques ou encore des maisons dédiées à la protection de l’enfance). Nous gérons une quarantaine d’établissements et plus de 80 services différents.

Nous sommes aujourd’hui plus de 3 200 salariés, et opérons principalement dans la région Auvergne-Rhône-Alpes.

Basée à Lyon, la direction générale pilote et accompagne les différents établissements depuis 2018 (avant cela nous avions un secrétariat général en charge des structures que nous accompagnions).

Nous avons différents pôles à la direction générale, qui vont apporter leurs expertises aux structures accompagnées. Cela peut passer par exemple par de l’aide à la mise en conformité suite à une nouvelle directive de l’A.R.S (Agence Régionale de Santé).

Le pôle DSI de l’ORSAC a quant à lui fait son apparition en 2019. 

Notre mission est notamment d’aider les établissements à se digitaliser. 

Un DSI est arrivé à la création du pôle, avec un projet d’harmonisation des outils et des pratiques pour l’ensemble des organisations soutenues par l’ORSAC. 

Nous sommes aujourd’hui 4 et serons bientôt 8 au sein de la DSI. Notre équipe continue de grandir au fur et à mesure, pour venir combler les besoins de digitalisation de l’ensemble des salariés.

Je suis pour ma part arrivé chez l’ORSAC en alternance dans l’un des établissements de la protection de l’enfance. Je suis désormais responsable informatique du groupe.

Mes missions vont de l’accompagnement sur l’utilisation des nouveaux outils, jusqu’à la mise en place de campagnes de sensibilisation et de formations aux bonnes pratiques de cybersécurité.

Je pilote aujourd’hui 3 établissements pour lesquels j’administre tout le parc SI.

Sur le reste de l’association j’apporte mon expertise et gère de petits projets ponctuels tels que le renouvellement du parc informatique d’un établissement ou encore l’animation de sessions de formation sur certains outils utilisés en interne.

Nous essayons de proposer un SI le plus sain possible et le plus facile d’utilisation pour nos utilisateurs. 

Nous avons par nature une grosse problématique liée aux utilisateurs.

En effet, hormis pour le sanitaire, les financements liés au numérique sont historiquement compliqués à obtenir pour les structures du médico-social et du social. Ceux-ci sont délivrés par les métropoles ou les conseils départementaux qui regardent de près chaque ligne budgétaire et pour lesquelles le numérique n’était initialement pas un sujet prioritaire. Ainsi les demandes étaient bien souvent refusées ou acceptées avec des financements bien en deçà de ce qui était nécessaire.

De ce fait, beaucoup d’établissements ont encore la culture du papier et de l’oral. Ainsi, lorsque nous arrivons à avoir des financements pour mettre en place de nouveaux outils, il y a un énorme chantier d’accompagnement à mener auprès du personnel terrain. Il faut les rassurer, les accompagner et être très à l’écoute.

Pour chaque projet que nous menons, il y a une vraie complexité supplémentaire liée au manque de maturité numérique. 

Nous commençons généralement par sensibiliser de manière très informelle à l’occasion de réunions institutionnelles dans lesquelles nous sommes conviés. Nous évoquons par exemple l’importance de ne pas laisser traîner des post-it avec des mots de passe écrits dessus, de faire attention avant d’ouvrir une pièce jointe etc… mais sans trop entrer dans les détails.

Ensuite, avec notre DPO et l’arrivée d’une RSSI, nous avons commencé à déployer tout ce qui était PRA (Plan de reprise d’Activité) et PGSSI (Politique Générale de Sécurité de Systèmes d’Information).

Depuis quelques mois, notre DPO a également travaillé avec le GCS SARA (Le GCS Sara est un organisme de droit privé à but non lucratif, qui accompagne tous les professionnels de santé, de la définition de leur projet numérique à l’utilisation de solutions adaptées) pour avoir une campagne de sensibilisation. Désormais, tous les mois, un mail de sensibilisation, avec des quizz et des animations, est envoyé à chaque salarié. Une fois réalisé par le collaborateur, un certificat est généré pour attester de la bonne complétion de celui-ci. Ces mails portent sur les bonnes pratiques : comment détecter un spam, mettre à jour mon ordinateur professionnel, les tentatives de phishing etc…

Nous incluons les directions de chaque établissement pour qu’elles impulsent la dynamique et rappellent à leurs salariés de prendre le temps de faire ces petits exercices de sensibilisation.

Petit à petit cela sensibilise tout le monde et nous commençons à voir des changements dans les pratiques et une meilleure utilisation des outils.

Nous utilisons la suite Microsoft 365, ce qui nous permet notamment de bénéficier de l’anti-virus Microsoft Defender. Nous sommes également en train de réfléchir à rajouter une couche d’EDR (Endpoint detection and response) un peu plus poussée.

L’une des volonté de notre DSI, dès son arrivée dans le groupe, était justement de tout mettre en œuvre pour prévenir le risque et éviter qu’une attaque nous tombe dessus. Nous sommes conscients du risque cyber, des nombreuses attaques touchant notamment les hôpitaux et nous essayons de prendre les devants, pour éviter d’entacher l’image de l’association et ne pas mettre nos collaborateurs dans une situation complexe.

Chaque utilisateur gérait ses mots de passe à sa manière, bien souvent dans un carnet, sur des post-it, ou encore dans les navigateurs… 

À la DSI, conscient de l’importance d’une bonne gestion des mots de passe, nous avions chacun un coffre-fort personnel ou un fichier protégé par un mot de passe. 

Nous avons rapidement voulu déployer un gestionnaire de mots de passe à la direction générale. Nous ouvrons petit à petit l’outil aux différents établissements qui nous en font la demande.

Aujourd'hui avec la multiplication des outils, le besoin d’un gestionnaire de mots de passe est partout !

Ça a vraiment du sens d’avoir un outil comme LockSelf.

Nous avons créé un espace administrateur / direction générale dans lequel nous partageons les mots de passe de type accès wifi ou encore administration de serveurs, en lien avec tous les établissements sur lesquels nous opérons. Cela nous évite de devoir redemander les accès lorsque nous arrivons dans un nouvel établissement.

Pour les autres directions, j’ai indiqué une marche à suivre pour chaque directeur, afin qu’ils puissent créer leurs catégories de partage et être autonomes sur l’outil.

Tous les membres de la direction générale en bénéficient ainsi que la DSI.

On compte notamment à la direction générale les pôles : 

• Performance et projets
• Finance
• Les assistantes de direction
• Les directeurs 
• Le service achats
  

Cela représente une vingtaine de personnes aujourd’hui.

Nous commençons à réfléchir également au déploiement de LockPass sur les établissements qui disposent de leur propre SI interne.

Au fur et à mesure, par effet de bouche-à-oreille, nous savons que de plus en plus d’établissements vont nous demander d’implémenter LockPass.

Pour nous LockSelf dispose de nombreux atouts : 

• C’est français
• Nous avions le choix d’un hébergement certifié HDS (Hébergeur de données de santé)
• C’est certifié par l’ANSSI.