Une circulaire destinée au médico-social pour la sécurisation des SI
Le médico-social est souvent le parent pauvre, à la fois des systèmes d’information et, par ricochet, de leur sécurisation. Certes, il ne faut pas faire d’amalgame universel : je connais des établissements médico-sociaux qui sont informatisés du sol au plafond et où le SI en remontrerait à bien des établissements dix fois plus gros. Le crédit doit être accordé au directeur, qui a parfaitement compris les enjeux du SI et y a mis les moyens financiers adéquats : local technique informatique digne de ce nom, progiciels intégrés couvrant à la fois les fonctions administratives (paye, compta, etc.) et soins (dossier médical, dossier de soins).
Cela étant, c’est dans ce secteur que le meilleur côtoie le plus souvent le pire, et si l’on ne trouve quasiment plus, dans le domaine médical, des CH de petite ou de moyenne taille sans antivirus à jour, ce n’est malheureusement pas le cas dans la sphère médico-sociale. Il m’est arrivé de croiser des établissements où le réseau wifi était totalement ouvert (aucun cryptage du SSID) et où le réseau wifi patient était le même que le réseau informatique de production.
La circulaire a le mérite de poser un socle de base qui se décline en huit points :
- la mise à jour régulière des logiciels ;
- un antivirus à jour et un pare-feu ;
- un système de sauvegarde avec délocalisation des copies de sauvegarde ;
- un verrouillage automatique des sessions ;
- des comptes individuels et des mots de passe robustes ;
- des procédures dégradées a minima ;
- une sensibilisation du personnel à la sécurité informatique ;
- une charte interne d’utilisation de l’outil informatique.
Il faut selon moi voir cette circulaire comme la déclinaison, à petite échelle, des 42 mesures d’hygiène de l’Anssi – qui sont inapplicables aux petites structures. Le monde du médico-social est d’ailleurs resté globalement à l’écart de la mouvance générale de sécurisation du SI depuis plus de cinq ans, du fait de critères et d’outils souvent inappropriés.
(1) http://circulaires.legifrance.gouv.fr/pdf/2017/07/cir_42445.pdf
Avez-vous apprécié ce contenu ?
A lire également.
RGPD chez France Travail : les questions de fond
02 fév. 2026 - 22:49,
Tribune
-Vous n’avez pas pu la rater cette amende de 5 millions d’euros infligée par la Cnil à France Travail. On se souvient que l’organisme public a été la victime d’un vol massif de plus de 35 millions de données personnelles : les noms et prénoms, les numéros de sécurité sociale, les identifiants France ...
Cybersécurité en santé : 2026, une année charnière pour penser la résilience collective
02 fév. 2026 - 22:39,
Actualité
- Rédaction, DSIHÀ mesure que les cadres réglementaires et normatifs se renforcent, la cybersécurité s’impose comme un enjeu durable pour les structures de santé. Entre montée en puissance des menaces numériques et transformation des pratiques, le secteur est appelé à repenser sa capacité de résilience. Dans ce cont...
2026 : la fin de l’Espace, du Temps et de la Vie privée
27 jan. 2026 - 08:37,
Tribune
-Cédric Cartau analyse comment le Fichier national automatisé des empreintes génétiques (Fnaeg), initialement conçu pour lutter contre la criminalité sexuelle, est devenu en moins de 30 ans un outil de fichage de masse. En s’appuyant sur l’essor de la recherche par parentèle, il interroge les conséqu...
Test PCRA et exercice de gestion de crise combinés : le pragmatisme au service de l'efficience
26 jan. 2026 - 15:06,
Tribune
-Dans un contexte de cybermenace persistant, l'amélioration de la résilience est devenue une obligation pour les organisations de santé. Le programme CaRE, accompagne les établissements dans cette obligation au travers d’un axe majeur : s'équiper et se former face à la menace numérique. Dans la conti...
