Vous dirigez un ESSMS ? Il est de votre devoir d’en assurer la sécurité

Le gouvernement a publié début juillet une instruction visant à inciter les responsables d’Etablissement et Services Sociaux et Médico-Sociaux (ESSMS) à renforcer, voire à mettre en oeuvre, une stratégie de protection des établissements.

Cette instruction détermine les mesures à mettre en oeuvre par les établissements dans tous les domaines de la sécurité physique mais aussi informatique, sujet qui nous tient particulièrement à cœur et pour lequel nous œuvrons depuis bientôt 15 ans.

Voici une synthèse de l’instruction sur la partie informatique, à réaliser avant la fin 2017 :

  • Définir une politique globale de sécurité visant à protéger les personnes, les biens et les informations. Cette politique globale sera consignée sur une fiche de sécurité structurée autours de deux dispositifs : le dispositif de sécurité en temps normal et le dispositif de sécurité en cas de crise ;
  • Vérifier et augmenter si nécessaire le niveau de protection des outils de lutte contre les virus informatiques (antivirus, proxies filtrants, firewall) ;
  • Vérifier les moyens de sauvegarde, s’assurer qu’ils sont conformes à l’état de l’art (sauvegardes quotidiennes, archivages sur un an avec utilisation d’un site distant) et qu’ils permettent des restaurations rapides selon différents scénarios de perte des données ;
  • Vérifier les niveaux d’accès des utilisateurs afin de réduire les risques de divulgation de données sensibles ;
  • Vérifier la politique de mise à jour des systèmes d’exploitation et des logiciels ;
  • Vérifier le niveau de sécurité de chacun des terminaux (ordinateurs, tablettes, smartphones, équipements médicaux connectés) ;
  • Verrouiller les sessions utilisateurs (fermeture manuelle et automatique après un certain temps d’inactivité) ;
  • Vérifier la stratégie de choix et de renouvellement des mots de passe utilisateurs (10 caractères minimum avec mélange de lettres, chiffres et caractères spéciaux. Durée de vie de quelques mois, à adapter en fonction du contexte de chaque établissement) ;
  • Si nécessaire pour assurer une continuité des missions de l’établissement, déployer un PRA / PCA (Plan de Reprise d’Activité et Plan de Continuité d’Activité) ;
  • Sensibiliser et former les personnels aux bonnes pratiques d’utilisation du SI (Système d’Information) et plus généralement d’Internet (messagerie, sites web, réseaux sociaux, pièges à éviter, etc.) ;
  • Organiser des exercices régulièrement ;
  • Mesurer, mettre à jour votre politique globale de sécurité et recommencer.

L’instruction contient deux annexes qui détaillent chacun des points de cette synthèse et fourni les liens essentiels pour trouver les bonnes pratiques et méthodes à employer. Si malgré cela vous avez encore besoin d’aide n’hésitez pas à nous contacter, nous sommes là pour vous aider.

Comment pouvons-nous vous aider ?

Liens vers l’instruction référence SG/HFDS/DGCS/2017/219 du 4 juillet 2017 relative aux mesures de sécurisation dans les établissements et services sociaux et médico-sociaux : http://circulaires.legifrance.gouv.fr/pdf/2017/07/cir_42445.pdf

Pour obtenir plus d’informations sur nos offres d’accompagnement, contactez nos spécialistes au 01 61 38 07 55