Aller au contenu
Cybersécurité

Cybersécurité en ESSMS : les 13 questions clés du guide de l’ANS résumé pour les décideurs

juin 13, 2026 · web · 6 min de lecture

Protéger les données des personnes accompagnées au sein de nos associations sociales et médico-sociales (ESSMS) est devenu une priorité absolue. Face à la recrudescence des cyberattaques dans notre secteur, l’Agence du Numérique en Santé (ANS) a publié un guide officiel d’autoévaluation intitulé La cybersécurité pour le social et le médico-social en 13 questions.

Chez CADOM, nous savons que la technique peut parfois sembler complexe. C’est pourquoi nous avons résumé pour vous, en termes simples et concrets, chacun de ces 13 chapitres essentiels.

Les 13 réflexes de sécurité pour votre structure

1. Connaissez-vous suffisamment votre parc informatique ?

La première étape consiste à faire un inventaire régulier (au moins deux fois par an). Vous devez savoir précisément :

  • Quels sont vos équipements (ordinateurs, tablettes des équipes, smartphones).
  • Quels logiciels vous utilisez (notamment votre Dossier Usager Informatisé – DUI).
  • Où sont stockées les données personnelles de vos usagers et de vos salariés.

2. Effectuez-vous des sauvegardes régulières ?

La sauvegarde est votre meilleure alliée en cas d’attaque. Le guide conseille d’appliquer la règle « 3-2-1 » :

  • Faire au moins 3 copies de vos données.
  • Sur 2 supports différents (par exemple : un serveur local et un service cloud).
  • Conserver 1 copie déconnectée du réseau et physiquement éloignée.
  • Point légal important : si vos données de santé sont sauvegardées à l’extérieur, votre hébergeur doit obligatoirement être certifié HDS (Hébergeur de Données de Santé).

3. Appliquez-vous régulièrement les mises à jour ?

Les pirates exploitent souvent des failles dans les logiciels périmés. Il est recommandé d’activer les mises à jour automatiques sur tous vos appareils et de mettre au rebut ou de désinstaller tout matériel obsolète qui ne reçoit plus de correctifs de sécurité de la part du fabricant.

4. Utilisez-vous un antivirus ?

Chaque équipement connecté à internet (ordinateurs de bureau, serveurs de fichiers) doit disposer d’un antivirus installé et configuré pour se mettre à jour automatiquement. Idéalement, la gestion de ces antivirus doit être centralisée pour suivre l’état de sécurité global de votre parc.

5. Avez-vous une politique de mots de passe robustes ?

Pour éviter l’accès aux dossiers des usagers par des personnes malveillantes, vos mots de passe doivent respecter des règles de longueur :

  • 14 caractères minimum (mélangeant majuscules, minuscules, chiffres, caractères spéciaux) pour les accès sensibles contenant des données de santé.
  • Il est recommandé d’utiliser un outil « coffre-fort » de mots de passe et d’activer la double authentification (MFA) pour l’accès aux logiciels sensibles (comme le DUI). De plus, l’utilisation de Pro Santé Connect devient la norme pour s’identifier de manière sécurisée.

6. Avez-vous activé un pare-feu ?

Le pare-feu est une barrière qui filtre et bloque les intrusions venues d’Internet. Assurez-vous d’activer a minima le pare-feu local présent par défaut sur chaque ordinateur et d’installer un pare-feu physique pour protéger le réseau de vos locaux.

7. Comment sécurisez-vous votre messagerie ?

Le courrier électronique est la porte d’entrée de la majorité des attaques (notamment par hameçonnage ou « phishing »).

  • À proscrire : la redirection automatique des e-mails professionnels vers des boîtes personnelles (comme Gmail ou Orange).
  • Obligatoire : l’utilisation d’une Messagerie Sécurisée de Santé (MSSanté) pour échanger des données de santé d’usagers.

8. Comment séparez-vous vos comptes et usages ?

Il convient d’éviter les partages de comptes informatiques au sein de vos équipes :

  • Chaque salarié doit avoir son propre compte utilisateur personnel.
  • Les comptes d’administration (utilisés pour installer des logiciels) doivent être strictement séparés des comptes d’usage quotidien (utilisés pour naviguer sur le web).
  • Lorsqu’un collaborateur quitte votre association, révoquez immédiatement tous ses accès.

9. Maîtrisez-vous le risque lié au nomadisme ?

Vos professionnels travaillent parfois à distance (télétravail, visites à domicile) avec des ordinateurs portables ou des tablettes. Pour limiter les risques de vol ou de fuite de données :

  • Utilisez un réseau privé virtuel (VPN) pour sécuriser la connexion à vos serveurs à distance.
  • Procédez, si possible, au chiffrement des données sur le disque dur des ordinateurs mobiles.
  • Interdisez l’usage de clés USB non sécurisées.

10. Comment informez-vous et sensibilisez-vous vos équipes ?

L’humain reste au cœur de la sécurité informatique. Il est conseillé de :

  • Rédiger et faire signer une charte informatique à l’ensemble des salariés et bénévoles.
  • Intégrer la cybersécurité dans le plan de formation de votre association.
  • Créer une culture d’entraide où la déclaration d’incidents est encouragée et déculpabilisée.

11. Savez-vous comment réagir en cas de cyberattaque ?

Si votre structure subit une attaque (comme un rançongiciel) :

  • Premier réflexe : déconnectez immédiatement la machine du réseau (enlevez le câble réseau ou coupez le Wi-Fi), mais n’éteignez pas l’ordinateur afin de préserver les indices informatiques pour l’enquête.
  • Ne payez jamais la rançon.
  • Déclaration obligatoire : vous devez légalement signaler tout incident informatique grave à votre ARS et à l’ANS via le portail national des événements indésirables, et notifier la CNIL sous 72h s’il y a un risque de fuite de données. Enfin, portez plainte.

12. Avez-vous une couverture d’assurance cyber ?

La cybersécurité inclut aussi la protection financière de votre association. Rapprochez-vous de votre assureur pour étudier la possibilité de souscrire une clause ou un contrat spécifique « risque cyber ». Ce type de contrat peut couvrir les frais de restauration de vos données, l’assistance juridique et les pertes financières liées à l’interruption de vos services.

13. Maîtrisez-vous vos relations avec vos prestataires tiers ?

Lorsque vous achetez un logiciel (comme votre DUI) ou que vous confiez votre informatique à un prestataire externe, vous devez encadrer vos relations par contrat. Veillez à rédiger des clauses de sécurité précises et exigeantes concernant la confidentialité des données, le stockage conforme HDS, la restitution des informations en fin de contrat, et la gestion des incidents.

CADOM accompagne les présidents d’association

Mesurer la maturité numérique de votre structure peut s’effectuer grâce à l’observatoire national MaturiN-SMS, qui est directement corrélé aux 13 questions de ce guide officiel.

Les équipes de CADOM se tiennent à vos côtés pour vous aider à décrypter ces exigences, à réaliser vos diagnostics de sécurité, et à mobiliser les financements publics adaptés afin de protéger efficacement votre structure et vos usagers.

Contactez l’association CADOM pour faire le point sur votre sécurité numérique

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez le réseau du numérique solidaire

Adhérez à CADOM, mobilisez des expertises de confiance et participez à une transformation numérique responsable, sobre et inclusive du secteur médico-social.

Adhérer à CADOM Nous contacter
Retour en haut