Le plan de sécurité informatique

Un plan de sécurité informatique est un document stratégique qui décrit les mesures, les politiques et les procédures mises en place pour protéger les systèmes informatiques et les données d'une organisation contre les cybermenaces.
Chaque acteur, à son niveau, quelles que soient ses missions ou ses activités, a un rôle à jouer dans la contribution à la sécurité des systèmes d’information :
    • par sa vigilance, le respect des règles de sécurité de la charte de l'utilisateur du SI dont les principales sont rappelées ci-dessous,
    • en signalant sans tarder les incidents de sécurité ou toute suspicion d'incident.

Le dispositif de contrôle interne

Le contrôle interne est un ensemble de moyens, de comportements, de procédures et d’actions mis en place pour maîtriser les risques et assurer la qualité des services rendus.

Le dispositif national de contrôle interne est encadré par le Code de la sécurité Sociale et le Décret du 30 septembre 2022. Il s’agit de la mise en œuvre d’une stratégie de maitrise des risques adapté aux enjeux de gestion, notamment de renforcement de la qualité et de la performance propre aux activités de l’organisme.

Ce dispositif a pour finalité d’apporter une assurance raisonnable quant au respect de plusieurs objectifs : la conformité des opérations aux lois, l’exactitude des montants de cotisations et contributions à recouvrer, ainsi que des prestations versées, la prévention des indus et le recouvrement des créances, la bonne utilisation des fonds publics, la prévention et la détection des fraudes internes et externes, la fiabilité des informations financières, comptables et budgétaires de l’organisme.

Pour ce faire, un plan de Maitrise des Risques est établi annuellement afin de mesurer l’effectivité et l’efficacité de ce dispositif. Le Directeur et le Directeur Comptable et financier s’assurent de la bonne mise en œuvre de ce dispositif, notamment à travers plusieurs outils : une cartographie des risques afin d’identifier les risques inhérents à l’activité de l’organisme, la mise en place de contrôles identifiés afin de garantir la couverture de ces risques et de mesurer la qualité de l’activité.

Pour ce faire, la MSA a mis en place plusieurs actions :

Les Actions de Contrôle Interne (ACI)

Chaque processus métiers, couvrant les différentes activités de la MSA (immatriculation/affiliation, cotisations, prestations, contentieux, gestion de l’entreprise), a été analysé pour en déterminer les risques. Les ACI décrivent les modalités de contrôle à effectuer par la MSA afin de sécuriser les processus métiers (population, périodicité, éléments à contrôler…). 
 

La Vérification Comptable 

Les services du Directeur financier et comptable réalisent annuellement la vérification d’un nombre minimum de dossiers de prestations liquidées et de cotisations émises. Ces contrôles se font de façon aléatoire ou ciblée et la sélection des dossiers est réalisée par des requêtes nationales, ce qui garantit son objectivité. Les dossiers du personnel de la caisse, comme ceux des adhérents, peuvent faire l’objet d’un contrôle par la vérification comptable.
 

Le Plan Comptable du Directeur comptable et financier

Ce plan est tenu en application des dispositions règlementaires, de s’assurer de la maitrise de processus comptables et financiers de l’organisme. Les contrôles sont effectués par les services comptables.
 

La Lutte contre la Fraude Interne et externe

Est considérée comme fraude toute irrégularité, acte ou abstention ayant pour effet de causer un préjudice aux finances publiques, commis de manière intentionnelle.
Le Directeur Général et le Directeur Comptable et Financier de la caisse définissent les actions de contrôle à mener pour se prémunir contre le risque de fraude. Elles s’inscrivent dans une logique de prévention et de détection des fraudes. 
Les actions de lutte contre les fraudes concernent tous les domaines (prestations, cotisations, travail illégal…) et tous les acteurs de la Protection Sociale (adhérents, professionnels de santé, tiers...). 
Toute fraude constatée et avérée engendrera la récupération des sommes versées à tort et fera l’objet d’une sanction. Les sanctions prononcées par le Comité de Lutte contre les Fraudes pouvant aller d’un simple avertissement au dépôt de plainte.
 

Le plan de continuité d’activité (PCA)

En cas de sinistre significatif, le PCA est le moyen par lequel la MSA va assurer la permanence de son activité en adaptant son organisation à la situation dégradée. Ce dispositif comprend notamment la constitution d’une cellule de crise et l’identification des référents des différents domaines de l’entreprise. 
Tous les ans la MSA POITOU organise un exercice de simulation. L’occasion pour la cellule de crise de se réunir, de mettre en pratique le dispositif et d’envisager des pistes d’amélioration.