Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

PSSI et Care D2, des questions pas si simples

26 août 2025 - 08:49,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater que chacun peut avoir une vision différente du sujet.

Entre autres questions :

– Comment articuler la PSSI-S (celle du ministère), la PSSI-G (celle qui s’impose à tout le GHT) et la PSSI-ES (de chaque établissement) ? On met quoi dans chacun des documents et on les articule comment ?

– Quel est le niveau de détail de la PSSI-G et de la PSSI-ES ?

– Et d’ailleurs, c’est quoi une PSSI ?

– Et d’ailleurs, que signifie le mot « Politique » dans PSSI ?

(Oui, je sais, je rentre de congé avec des questions métaphysiques plein les tongs ensablées.)

(Petite précaution stylistique : le présent billet ne fait que donner un point de vue sur le sujet, et rien de plus.)

(Dernière précaution : comme je suis ultrafeignant, mon objectif n’est pas de pondre une PSSI-G qui va simplement « cocher une case » de Care D2 et terminer à la poubelle, mais qui va s’insérer de manière durable dans le socle documentaire de mon SMSI 27001.)

Si l’on en croit la définition du Larousse[1], la politique est « l’ensemble des options prises collectivement ou individuellement par les gouvernants d’un État dans quelque domaine que s’exerce leur autorité (domaine législatif, économique ou social, relations extérieures) ». Une PSSI constituerait donc un ensemble d’options ou d’orientations dans le domaine de la protection des SI. Bien.

Si l’on en croit l’Anssi[2], la PSSI résulte de l’appréciation des risques : on réalise d’abord une AR, qui dit en gros où sont les risques à traiter, et la PSSI est la matérialisation des orientations cyber pour traiter les risques. Cette définition est totalement obsolète, puisque le document de l’Anssi mentionné date de 2004 – plus de 20 ans donc. Wikipédia donne une définition[3] très proche : « La PSSI est le document de référence en matière de SSI de l’organisme. Elle définit les objectifs à atteindre et les moyens accordés pour y parvenir. » Définition toujours aussi obsolète selon moi.

En fait, la réponse est dans la 27001, qui définit les types de documents suivants :

– La PSI (politique de sécurité de l’information, à ne surtout pas confondre avec la PSSI), document qui en général ne dépasse pas 1 page ;

– La déclaration d’applicabilité (DDA pour les intimes), qui est en gros la liste des 93 mesures retenues pour traiter les risques (que globalement on retient quasiment dans leur intégralité) ; et c’est la DDA qui résulte de l’AR ;

– Le plan de traitement des risques, qui est en résumé le macro-Gantt résultant de la DDA, et qui précise quels projets SSI on va mener pour ramener l’ensemble des risques au niveau souhaité. Il doit bien entendu être connecté à la DDA ;

– Les objectifs de sécurité de l’information. L’ISO 27001 est peu disert sur ce document, mais pour ma part je considère que les objectifs sont exprimés en termes compréhensibles par un non-expert, alors que le plan de traitement liste des projets techniques parfois très complexes, pas forcément compréhensibles par un décideur ; dit autrement, dans cette vision des choses, les objectifs sont des « thèmes », dont chacun est détaillé par le plan de traitement à l’aide d’un ou de plusieurs projets techniques pointus ;

– Et, on y arrive, les politiques qui sont une exigence de l’annexe A-5.1.

Selon ce découpage, la PSSI n’est qu’un document exigé par l’annexe A-5.1, et le meilleur moyen de l’aborder est de découper le plan de la PSSI selon les 93 chapitres de l’annexe A. Selon ce découpage également, l’annexe A a fait l’essentiel du job (les milliers d’heures dépensées pour construire la 27001 doivent bien servir à quelque chose !), il suffit à la PSSI de détailler comment doit être mise en œuvre chacune des 93 mesures, avec une orientation « intention » : la PSSI est un PLAN, pas un DO.

Il reste deux difficultés à régler :

– Le niveau de détail des mesures de l’annexe A est très variable : dans ce contexte, la PSSI va parfois n’avoir pas grand-chose à dire concernant telle ou telle mesure (par exemple la gestion RH, la formation, la revue indépendante de la sécurité), alors qu’à d’autres endroits elle va devoir aller plus loin (sauvegardes, protection contre les malwares, etc.) ;

– La factorisation, au sein d’un seul document (la PSSI-G) du détail des mesures de tout le GHT. Effectivement, il n’y a aucune raison pour que deux établissements aient une vision – un « Plan » – différent pour la A-5.12, la A-6.3, etc., mais d’un autre côté, partant de situations hétérogènes, aligner tout le monde sur un objectif commun n’est pas simple.

Cette approche a plusieurs avantages :

– Exit la dichotomie PSSI-G et PSSI-ES : un seul document est requis ;

– Sa validation est simple : le DG de l’établissement support, ou son DSI par délégation de signature, s’en charge ;

– Elle est assez rapide pour ceux qui sont déjà certifiés 27001, mais nécessite un bon relifting de la PSSI pour la rendre « GHT-isable » ;

– Et elle produit du boulot qui n’est pas jetable.

Je ne vois qu’un seul inconvénient à ce stade : la PSSI-G va devenir assez centralisée et son mode d’approbation doit rester léger (donc validé par l’ES support, sinon on ne s’en sort pas), mais bon, si on ne voulait pas aligner tous les établissements d’un GHT sur des pratiques communes, il ne fallait pas créer les GHT.

Si quelqu’un a une autre vision, je suis preneur.

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,

Tribune

-
Cédric Cartau

Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.