PSSI et Care D2 : suite de la réflexion sur la question de la signature

(En fait, la question est double : elle se pose à la fois de façon générique – signer ou pas une PSSI ? –, mais aussi pour le cas spécifique du prérequis Care D2.P1.)

Commençons par la question générique : signer ou pas une PSSI ? Si l’on considère que l’état de l’art est la 27001, alors le débat est facile à trancher. La PSSI n’est évoquée que dans l’annexe A mesure 5.1, qui stipule clairement qu’elle doit être :

– Définie, ce que l’on peut interpréter par « rédigée », au contraire de la bonne majorité des mesures qui ne nécessitent pas obligatoirement un écrit pour preuve ;
– Approuvée par la direction, et non pas « signée », ce qui supposerait un gri-gri au bas d’un document ; et aux chafouins qui me diraient que tant qu’à faire autant gri-griter, si on jouait au débat du niveau de signature, avec certificat, voire présence d’un officier ministériel ? ;
– Communiquée. Pas difficile ;
– Et surtout demandée en confirmation aux personnels et aux parties intéressées (c’est d’ailleurs là que les auditeurs 27001 s’en donnent à cœur joie pour déglinguer l’organisation certifiée, avis aux amateurs).

La meilleure solution consiste d’ailleurs à séparer la PSSI stricto sensu et la note de service interne à l’établissement qui l’officialise (et qui, elle, peut être signée par une direction). Cela permet notamment de régler la question du cycle de vie de la PSSI, voir ci-dessous.

Pour Care D2, la lecture de l’arrêté du 3 juillet 2025, qui fait foi, nécessite uniquement, mais essentiellement, une bonne maîtrise de l’accord du participe passé. L’arrêté mentionne en effet dans la liste des pièces à fournir (annexe 1) : « Document présentant la PSSI, validé et revu dans les 36 mois précédant la date de publication de l’arrêté. »

Le lecteur attentif aura noté qu’il n’est pas écrit : « Document présentant la PSSI, validée et revue » mais bien « Document présentant la PSSI, validé et revu », « validé » et « revu » s’appliquant donc non pas à la PSSI, mais au document qui la présente.

Cela tombe bien (surtout pour le RSSI et la DSI) : une note interne validant le document, et vogue la galère sur la PSSI elle-même et son cycle de revue. Et si on fait correctement les choses, la signature de la note peut parfaitement être réalisée par la DSI elle-même, les délégations de signature ne sont pas faites pour rien (attention, pas le RSSI SVP, je dis bien la DSI). Cette solution a le mérite d’articuler parfaitement la vision 27001 et la vision Care D2, ce qui tombe extrêmement bien.

Concernant le cycle de vie de la PSSI enfin, la 27001 stipule qu’elle doit être révisée tous les trois ans au minimum, et à chaque changement – votre serviteur quant à lui fait évoluer la sienne tous les trois mois en moyenne. Non seulement il est impossible de faire signer à une direction générale un document aussi technique, mais en plus, avec une telle fréquence de révision, bon courage pour la signature sans l’astuce de la note de service. D’ailleurs, à bon entendeur, un bon moyen de se faire une première idée de la maturité cyber d’un établissement de santé, c’est justement de regarder les fréquences de révision de la PSSI : si elle ne bouge qu’à chaque nouvelle lune de la saint-glinglin, ce n’est pas exactement bon signe…

On l’a vu, une PSSI est très technique. Si, comme dans le précédent article de DSIH susnommé, on la structure autour des 93 mesures de l’annexe A, autant le chapitre 5 concerne les mesures organisationnelles, autant les chapitres 7 et 8 sont beaucoup plus techniques, et il ne me viendrait pas à l’idée de mettre ce genre de document dans le parapheur d’une direction générale.

Point étonnant : ledit arrêté stipule que le document (donc, la note qui accompagne la PSSI) doit être « validé et revu dans les 36 mois précédant la date de publication de l’arrêté ». « Précédant » ? N’est-ce pas une coquille ? Ne serait-ce pas plutôt « suivant » ? La plupart des établissements de santé ne disposent pas d’un tel document antérieur au 3 juillet 2025 (et même du 16 juillet si l’on prend en compte la date de publication de l’arrêté au JO).

À suivre…

[1]   https://dsih.fr/articles/5971/pssi-et-care-d2-des-questions-pas-si-simples