Alice Sivagnanam (Domitys) : « en 2024, tout le monde est concerné par la cybersécurité »

Pouvez-vous nous présenter Domitys ?

Comme Christophe Soyer l’a expliqué dans sa propre interview, Domitys propose des résidences services seniors (non-médicalisées), soit une offre d’appartements modernes et bien équipés, allant du T1 au T3, à destination des seniors autonomes. Les résidences proposent des services (repas, ménage, blanchisserie…) et des activités.

A ce jour, nous disposons de 175 résidences, 28 devant ouvrir dans le courant 2024. Nous abritons aujourd’hui 18 000 résidents.

En tant que RSSI, à qui êtes-vous rattachée ?

Hiérarchiquement, je suis rattachée à la direction digitale et informatique.

Mais je suis accompagnée au quotidien par l’équipe cybersécurité du groupe AG2R La Mondiale avec qui nous construisons des synergies. Le groupe est présent pour nous apporter un appui en cas de besoins.

Quel est votre périmètre ?

Je m’occupe de l’ensemble de la cybersécurité de Domitys : les résidences, le siège…

Je travaille bien sûr en synergie avec le DPO qui, lui, est rattaché à la direction juridique. Et, donc, je fais partie de la filière cybersécurité du groupe AG2R La Mondiale comme je viens de l’indiquer.

Concernant le SI interne de Domitys, comment assurez-vous la cybersécurité dans un secteur pouvant traiter des données très sensibles ?

Nos résidences ne sont pas médicalisées. Nous ne traitons donc pas de données médicales détaillées, tout au plus, dans certains cas, quelques spécificités (allergies, intolérances alimentaires…). Nous n’assurons aucun soin. Certes, le personnel peut être amené à faire une course pour un résident (notamment aller chercher ses médicaments à la pharmacie) mais les informations médicales ne sont jamais saisies dans notre SI.

Les réseaux internes, pour le fonctionnement du groupe et de ses résidences, sont distincts des réseaux dédiés aux résidents et aux visiteurs.

Et vous traitez donc de la cybersécurité des services numériques offerts aux résidents ?

Tout à fait. Certains seniors sont bien connectés et ils utilisent en toute autonomie nos outils tels que le portail de service. Certains utilisent des objets connectés tels que des montres anti-chûtes qui permettent de déclencher des alertes auprès du personnel d’une résidence.

Nos restaurants disposent d’une possibilité d’encaissement et assurent la prise de commande par tablette. Nos restaurants sont d’ailleurs ouverts aux familles et autres visiteurs.

Notre objectif en matière de cybersécurité est de garantir une jouissance paisible de nos services.

Notre cybersécurité repose sur trois piliers : l’approche par les risques, le Security by Design et l’amélioration continue.

Pour cela, comment sensibilisez-vous vos collaborateurs, notamment en résidences, aux cyber-risques pour éviter de mauvaises pratiques ?

Tous les collaborateurs ne sont pas nécessairement équipés d’un PC individuel. Certains peuvent utiliser un poste commun.

D’abord, nous respectons la règle du moindre privilège : chacun n’accède qu’aux informations dont il a besoin. Cela limite de fait les risques.

Nous avons aussi un programme de sensibilisation assez classique face aux menaces de type phishing. Nous assurons une sensibilisation directe mais aussi indirecte, via les managers, pour faciliter la diffusion des messages.

Il faut que chacun comprenne que les menaces rencontrées sur le terrain professionnel sont finalement les mêmes que celles rencontrées à titre personnel et, donc, que les conseils données dans un cadre professionnel sont aussi utiles à titre personnel.

Nous gardons aussi mobilisés nos collaborateurs en variant les formats et en multipliant les interventions : notre sensibilisation est multicanale, associant des modules de e-learning à la demande (avec des mises en situation et un contrôle d’acquisition des connaissances à la fin) ou des formations en présentiel. Bien entendu, nous diffusons aussi des contenus tels que des articles sur notre intranet. Depuis l’an dernier, suivre certains modules d’e-learning est devenu obligatoire. Cette approche pédagogique est très appréciée.

En 2024, tout le monde est concerné par la cybersécurité, que ce soit dans un cadre professionnel ou à titre personnel. D’ailleurs, au cours de nos formations, nous avons beaucoup de questions sur des situations personnelles.

Comme il y a aussi des échanges numériques entre le personnel et les résidents (mails, SMS…), nous cherchons aussi à sensibiliser les résidents, d’autant que les seniors constituent un public vulnérable. Le mois prochain, ce sera une première, Cybermalveillance.gouv.fr va intervenir dans une résidence. Cette expérimentation est susceptible de se reproduire.

Nous avons tous un rôle à jouer pour la cybersécurité. Notre approche, c’est d’abord qu’il est important d’échanger entre collègues et ensuite de savoir alerter en cas de doute.

Avez-vous à sécuriser des échanges avec des tiers tels que la sécurité sociale ?

Nos résidences ne sont pas médicalisées donc nous n’avons pas de remboursements de soins. Mais, par contre, nous avons à sécuriser des flux tels que de la facturation à des conseils départementaux. Nous les sécurisons en fonction de la sensibilité des données. Bien entendu, quand nous gérons des flux avec des fournisseurs, nous exigeons des engagements contractuels de ces tiers sur la mise en œuvre de mesures de cybersécurité.

Quels sont vos prochains défis ?

Comme l’indiquait Christophe Soyer, notre IT est en pleine transformation. De ce fait, il s’agit évidemment d’accompagner tous les projets pour qu’ils soient sécurisés de manière native et permanente.

Sécuriser nos capacités opérationnelles est aussi un défi constant. Nous devons toujours faire en sorte que nos clients gardent une parfaite confiance dans nos services.

Enfin, nous devons accompagner, notamment via la sensibilisation, nos collaborateurs comme nos résidents face aux nouvelles cybermenaces.