Publicité en cours de chargement...

Publicité en cours de chargement...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

(En fait, la question est double : elle se pose à la fois de façon générique – signer ou pas une PSSI ? –, mais aussi pour le cas spécifique du prérequis Care D2.P1.)

Commençons par la question générique : signer ou pas une PSSI ? Si l’on considère que l’état de l’art est la 27001, alors le débat est facile à trancher. La PSSI n’est évoquée que dans l’annexe A mesure 5.1, qui stipule clairement qu’elle doit être :

– Définie, ce que l’on peut interpréter par « rédigée », au contraire de la bonne majorité des mesures qui ne nécessitent pas obligatoirement un écrit pour preuve ;
– Approuvée par la direction, et non pas « signée », ce qui supposerait un gri-gri au bas d’un document ; et aux chafouins qui me diraient que tant qu’à faire autant gri-griter, si on jouait au débat du niveau de signature, avec certificat, voire présence d’un officier ministériel ? ;
– Communiquée. Pas difficile ;
– Et surtout demandée en confirmation aux personnels et aux parties intéressées (c’est d’ailleurs là que les auditeurs 27001 s’en donnent à cœur joie pour déglinguer l’organisation certifiée, avis aux amateurs).

La meilleure solution consiste d’ailleurs à séparer la PSSI stricto sensu et la note de service interne à l’établissement qui l’officialise (et qui, elle, peut être signée par une direction). Cela permet notamment de régler la question du cycle de vie de la PSSI, voir ci-dessous.

Pour Care D2, la lecture de l’arrêté du 3 juillet 2025, qui fait foi, nécessite uniquement, mais essentiellement, une bonne maîtrise de l’accord du participe passé. L’arrêté mentionne en effet dans la liste des pièces à fournir (annexe 1) : « Document présentant la PSSI, validé et revu dans les 36 mois précédant la date de publication de l’arrêté. »

Le lecteur attentif aura noté qu’il n’est pas écrit : « Document présentant la PSSI, validée et revue » mais bien « Document présentant la PSSI, validé et revu », « validé » et « revu » s’appliquant donc non pas à la PSSI, mais au document qui la présente.

Cela tombe bien (surtout pour le RSSI et la DSI) : une note interne validant le document, et vogue la galère sur la PSSI elle-même et son cycle de revue. Et si on fait correctement les choses, la signature de la note peut parfaitement être réalisée par la DSI elle-même, les délégations de signature ne sont pas faites pour rien (attention, pas le RSSI SVP, je dis bien la DSI). Cette solution a le mérite d’articuler parfaitement la vision 27001 et la vision Care D2, ce qui tombe extrêmement bien.

Concernant le cycle de vie de la PSSI enfin, la 27001 stipule qu’elle doit être révisée tous les trois ans au minimum, et à chaque changement – votre serviteur quant à lui fait évoluer la sienne tous les trois mois en moyenne. Non seulement il est impossible de faire signer à une direction générale un document aussi technique, mais en plus, avec une telle fréquence de révision, bon courage pour la signature sans l’astuce de la note de service. D’ailleurs, à bon entendeur, un bon moyen de se faire une première idée de la maturité cyber d’un établissement de santé, c’est justement de regarder les fréquences de révision de la PSSI : si elle ne bouge qu’à chaque nouvelle lune de la saint-glinglin, ce n’est pas exactement bon signe…

On l’a vu, une PSSI est très technique. Si, comme dans le précédent article de DSIH susnommé, on la structure autour des 93 mesures de l’annexe A, autant le chapitre 5 concerne les mesures organisationnelles, autant les chapitres 7 et 8 sont beaucoup plus techniques, et il ne me viendrait pas à l’idée de mettre ce genre de document dans le parapheur d’une direction générale.

Point étonnant : ledit arrêté stipule que le document (donc, la note qui accompagne la PSSI) doit être « validé et revu dans les 36 mois précédant la date de publication de l’arrêté ». « Précédant » ? N’est-ce pas une coquille ? Ne serait-ce pas plutôt « suivant » ? La plupart des établissements de santé ne disposent pas d’un tel document antérieur au 3 juillet 2025 (et même du 16 juillet si l’on prend en compte la date de publication de l’arrêté au JO).

À suivre…


[1]   https://dsih.fr/articles/5971/pssi-et-care-d2-des-questions-pas-si-simples 

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

23 juin 2025 - 15:53,

Tribune

-
Moh WAQAS

Les hôpitaux sont aujourd’hui les cibles privilégiées des cyberattaques, menaçant la confidentialité des données, la disponibilité des services et, surtout, la sécurité des patients. Dans le contexte géopolitique actuel, marqué par la cyberguerre et l’escalade des tensions internationales, il est ur...

Illustration CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

23 juin 2025 - 10:49,

Actualité

- Maellie Vezien, DSIH

En EHPAD, un résident chute en moyenne 1,7 fois par an, contre 0,65 à domicile. Un chiffre qui en dit long sur l’urgence de pouvoir détecter rapidement ces incidents et offrir un moyen simple et fiable d’appeler un soignant, peu importe l’endroit où se trouve le résident.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.