L’Observatoire Permanent de la Sécurité des Systèmes d’Information des établissements médico-sociaux (OPSSIMS) a été publié sur le site de l’Agence du Numérique en Santé le 18 avril 2025.

Cet outil, intégré au programme CaRE, vise à renforcer la gouvernance et la résilience des SI des ESSMS face aux cybermenaces.

Structuré autour de quatre axes principaux — analyse des risques cyber, sécurité des SI, exercices de gestion de crise et diagnostics de cybersécurité — l’OPSSIMS permet aux structures du médico-social de réaliser une auto-évaluation pour identifier leurs vulnérabilités et élaborer des plans d’action adaptés.

Cette auto-évaluation porte sur des thématiques de sécurité variées, telles que la gestion et la sécurité des ressources SI et de ses différentes composantes, la gestion et le contrôle des utilisateurs du SI, ou encore la prévention et réduction des risques. Une fois l’analyse faite, les ESSMS obtiennent une note leur indiquant leur niveau de maturité cyber.

En parallèle, l’Agence du Numérique en Santé (« ANS ») a également annoncé le 17 avril 2025 la sortie de la version 2 de son kit d’exercices de crise cyber.

Ce kit, conçu pour les établissements sanitaires et médico-sociaux, inclut des scénarios personnalisés et des chronogrammes automatisés pour simuler des situations de crise réalistes.

Il permet aux établissements d’évaluer leur maturité en cybersécurité et d’améliorer leurs réponses aux incidents cybernétiques, renforçant ainsi la préparation et la résilience face aux cybermenaces.

L’occasion est donc donnée aux établissements médico-sociaux de faire le point sur leur conformité aux exigences posées par l’article 32 du RGPD en matière de sécurité.

Par ailleurs, il convient de rappeler aux structures concernées l’importance d’associer leur délégué à la protection des données à cette évaluation et aux éventuelles actions complémentaires qui auront été déterminées.

Lien vers le document d’auto-évaluation.