Retour au blog

Harmoniser les outils cyber de l'ensemble du Groupe - ORSAC

Témoignages clients • 15 juin 2023

Découvrez pourquoi Mamadou a fait le choix de LockPass pour sécuriser la gestion des mots de passe au sein de l'association👇

Découvrez LockPass de LockSelf à travers

Le retour d'expérience de l'ORSAC

Entretien avec Mamadou Diaw, Responsable Systèmes Informatiques du Groupe ORSAC. 
Bonjour Mamadou, pouvez-vous dans un premier temps nous présenter l’ORSAC ainsi que votre poste.

L’ORSAC est une association reconnue d’utilité publique qui accompagne les établissements du sanitaire, du médico-social et du social (des EHPAD, des hôpitaux, des cliniques ou encore des maisons dédiées à la protection de l’enfance). Nous gérons une quarantaine d’établissements et plus de 80 services différents.

 

Nous sommes aujourd’hui plus de 3 200 salariés, et opérons principalement dans la région Auvergne-Rhône-Alpes.

 

Basée à Lyon, la direction générale pilote et accompagne les différents établissements depuis 2018 (avant cela nous avions un secrétariat général en charge des structures que nous accompagnions).

 

Nous avons différents pôles à la direction générale, qui vont apporter leurs expertises aux structures accompagnées. Cela peut passer par exemple par de l’aide à la mise en conformité suite à une nouvelle directive de l’A.R.S (Agence Régionale de Santé).

 

Le pôle DSI de l’ORSAC a quant à lui fait son apparition en 2019. 

 

Notre mission est notamment d’aider les établissements à se digitaliser. 

 

Un DSI est arrivé à la création du pôle, avec un projet d’harmonisation des outils et des pratiques pour l’ensemble des organisations soutenues par l’ORSAC. 

 

Nous sommes aujourd’hui 4 et serons bientôt 8 au sein de la DSI. Notre équipe continue de grandir au fur et à mesure, pour venir combler les besoins de digitalisation de l’ensemble des salariés.

 

Je suis pour ma part arrivé chez l’ORSAC en alternance dans l’un des établissements de la protection de l’enfance. Je suis désormais responsable informatique du groupe.

 

Mes missions vont de l’accompagnement sur l’utilisation des nouveaux outils, jusqu’à la mise en place de campagnes de sensibilisation et de formations aux bonnes pratiques de cybersécurité.

 

Je pilote aujourd’hui 3 établissements pour lesquels j’administre tout le parc SI.

 

Sur le reste de l’association j’apporte mon expertise et gère de petits projets ponctuels tels que le renouvellement du parc informatique d’un établissement ou encore l’animation de sessions de formation sur certains outils utilisés en interne.

Nous essayons de proposer un SI le plus sain possible et le plus facile d’utilisation pour nos utilisateurs. 

 

Nous avons par nature une grosse problématique liée aux utilisateurs.

En effet, hormis pour le sanitaire, les financements liés au numérique sont historiquement compliqués à obtenir pour les structures du médico-social et du social. Ceux-ci sont délivrés par les métropoles ou les conseils départementaux qui regardent de près chaque ligne budgétaire et pour lesquelles le numérique n’était initialement pas un sujet prioritaire. Ainsi les demandes étaient bien souvent refusées ou acceptées avec des financements bien en deçà de ce qui était nécessaire.

 

De ce fait, beaucoup d’établissements ont encore la culture du papier et de l’oral. Ainsi, lorsque nous arrivons à avoir des financements pour mettre en place de nouveaux outils, il y a un énorme chantier d’accompagnement à mener auprès du personnel terrain. Il faut les rassurer, les accompagner et être très à l’écoute.

 

Pour chaque projet que nous menons, il y a une vraie complexité supplémentaire liée au manque de maturité numérique. 

Quels sont les premiers sujets que vous avez commencé à adresser sur la partie cybersécurité ?

Nous commençons généralement par sensibiliser de manière très informelle à l’occasion de réunions institutionnelles dans lesquelles nous sommes conviés. Nous évoquons par exemple l’importance de ne pas laisser traîner des post-it avec des mots de passe écrits dessus, de faire attention avant d’ouvrir une pièce jointe etc… mais sans trop entrer dans les détails.

 

Ensuite, avec notre DPO et l’arrivée d’une RSSI, nous avons commencé à déployer tout ce qui était PRA (Plan de reprise d’Activité) et PGSSI (Politique Générale de Sécurité de Systèmes d’Information).

 

Depuis quelques mois, notre DPO a également travaillé avec le GCS SARA (Le GCS Sara est un organisme de droit privé à but non lucratif, qui accompagne tous les professionnels de santé, de la définition de leur projet numérique à l’utilisation de solutions adaptées) pour avoir une campagne de sensibilisation. Désormais, tous les mois, un mail de sensibilisation, avec des quizz et des animations, est envoyé à chaque salarié. Une fois réalisé par le collaborateur, un certificat est généré pour attester de la bonne complétion de celui-ci. Ces mails portent sur les bonnes pratiques : comment détecter un spam, mettre à jour mon ordinateur professionnel, les tentatives de phishing etc…

 

Nous incluons les directions de chaque établissement pour qu’elles impulsent la dynamique et rappellent à leurs salariés de prendre le temps de faire ces petits exercices de sensibilisation.

 

Petit à petit cela sensibilise tout le monde et nous commençons à voir des changements dans les pratiques et une meilleure utilisation des outils.

 

Nous utilisons la suite Microsoft 365, ce qui nous permet notamment de bénéficier de l’anti-virus Microsoft Defender. Nous sommes également en train de réfléchir à rajouter une couche d’EDR (Endpoint detection and response) un peu plus poussée.

 

L’une des volonté de notre DSI, dès son arrivée dans le groupe, était justement de tout mettre en œuvre pour prévenir le risque et éviter qu’une attaque nous tombe dessus. Nous sommes conscients du risque cyber, des nombreuses attaques touchant notamment les hôpitaux et nous essayons de prendre les devants, pour éviter d’entacher l’image de l’association et ne pas mettre nos collaborateurs dans une situation complexe.

Vous avez également fait le choix de mettre en place notre gestionnaire de mots de passe LockPass. Avant son déploiement, comment gériez-vous les mots de passe en interne ?

Chaque utilisateur gérait ses mots de passe à sa manière, bien souvent dans un carnet, sur des post-it, ou encore dans les navigateurs… 

 

À la DSI, conscient de l’importance d’une bonne gestion des mots de passe, nous avions chacun un coffre-fort personnel ou un fichier protégé par un mot de passe. 

 

Nous avons rapidement voulu déployer un gestionnaire de mots de passe à la direction générale. Nous ouvrons petit à petit l’outil aux différents établissements qui nous en font la demande.

 

Aujourd'hui avec la multiplication des outils, le besoin d’un gestionnaire de mots de passe est partout !

 

Ça a vraiment du sens d’avoir un outil comme LockSelf.

Comment êtes-vous organisé dans l’outil ?

Nous avons créé un espace administrateur / direction générale dans lequel nous partageons les mots de passe de type accès wifi ou encore administration de serveurs, en lien avec tous les établissements sur lesquels nous opérons. Cela nous évite de devoir redemander les accès lorsque nous arrivons dans un nouvel établissement.

 

Pour les autres directions, j’ai indiqué une marche à suivre pour chaque directeur, afin qu’ils puissent créer leurs catégories de partage et être autonomes sur l’outil.

Qui utilise la solution au sein de votre organisation ?

Tous les membres de la direction générale en bénéficient ainsi que la DSI.

 

On compte notamment à la direction générale les pôles : 

  • Performance et projets
  • Finance
  • Les assistantes de direction
  • Les directeurs 
  • Le service achats

 

Cela représente une vingtaine de personnes aujourd’hui.

 

Nous commençons à réfléchir également au déploiement de LockPass sur les établissements qui disposent de leur propre SI interne.

 

Au fur et à mesure, par effet de bouche-à-oreille, nous savons que de plus en plus d’établissements vont nous demander d’implémenter LockPass.

Pourquoi le choix de LockSelf ? Quels sont, selon vous, ses avantages ?

Pour nous LockSelf dispose de nombreux atouts : 

  • C’est français
  • Nous avions le choix d’un hébergement certifié HDS (Hébergeur de données de santé)
  • C’est certifié par l’ANSSI. 

Merci Mamadou !

_____

Rejoignez nos + 3 000 clients !

Observatoire LockSelf 2024 - 1ère édition - Couverture NL Cyber Café

 

Livre blanc

𝐆𝐞𝐬𝐭𝐢𝐨𝐧 𝐝𝐞𝐬 𝐦𝐨𝐭𝐬 𝐝𝐞 𝐩𝐚𝐬𝐬𝐞 𝐞𝐭 𝐒𝐡𝐚𝐝𝐨𝐰 𝐈𝐓

Quand cybersécurité rime avec création de valeur. En partenariat avec Silicon.