Publicité en cours de chargement...

Publicité en cours de chargement...

PSSI et Care D2 : suite de la réflexion sur la question de la signature

01 sept. 2025 - 22:56,
Tribune-
Cédric Cartau

Écouter l'article

0:000:00
Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?

(En fait, la question est double : elle se pose à la fois de façon générique – signer ou pas une PSSI ? –, mais aussi pour le cas spécifique du prérequis Care D2.P1.)

Commençons par la question générique : signer ou pas une PSSI ? Si l’on considère que l’état de l’art est la 27001, alors le débat est facile à trancher. La PSSI n’est évoquée que dans l’annexe A mesure 5.1, qui stipule clairement qu’elle doit être :

– Définie, ce que l’on peut interpréter par « rédigée », au contraire de la bonne majorité des mesures qui ne nécessitent pas obligatoirement un écrit pour preuve ;
– Approuvée par la direction, et non pas « signée », ce qui supposerait un gri-gri au bas d’un document ; et aux chafouins qui me diraient que tant qu’à faire autant gri-griter, si on jouait au débat du niveau de signature, avec certificat, voire présence d’un officier ministériel ? ;
– Communiquée. Pas difficile ;
– Et surtout demandée en confirmation aux personnels et aux parties intéressées (c’est d’ailleurs là que les auditeurs 27001 s’en donnent à cœur joie pour déglinguer l’organisation certifiée, avis aux amateurs).

La meilleure solution consiste d’ailleurs à séparer la PSSI stricto sensu et la note de service interne à l’établissement qui l’officialise (et qui, elle, peut être signée par une direction). Cela permet notamment de régler la question du cycle de vie de la PSSI, voir ci-dessous.

Pour Care D2, la lecture de l’arrêté du 3 juillet 2025, qui fait foi, nécessite uniquement, mais essentiellement, une bonne maîtrise de l’accord du participe passé. L’arrêté mentionne en effet dans la liste des pièces à fournir (annexe 1) : « Document présentant la PSSI, validé et revu dans les 36 mois précédant la date de publication de l’arrêté. »

Le lecteur attentif aura noté qu’il n’est pas écrit : « Document présentant la PSSI, validée et revue » mais bien « Document présentant la PSSI, validé et revu », « validé » et « revu » s’appliquant donc non pas à la PSSI, mais au document qui la présente.

Cela tombe bien (surtout pour le RSSI et la DSI) : une note interne validant le document, et vogue la galère sur la PSSI elle-même et son cycle de revue. Et si on fait correctement les choses, la signature de la note peut parfaitement être réalisée par la DSI elle-même, les délégations de signature ne sont pas faites pour rien (attention, pas le RSSI SVP, je dis bien la DSI). Cette solution a le mérite d’articuler parfaitement la vision 27001 et la vision Care D2, ce qui tombe extrêmement bien.

Concernant le cycle de vie de la PSSI enfin, la 27001 stipule qu’elle doit être révisée tous les trois ans au minimum, et à chaque changement – votre serviteur quant à lui fait évoluer la sienne tous les trois mois en moyenne. Non seulement il est impossible de faire signer à une direction générale un document aussi technique, mais en plus, avec une telle fréquence de révision, bon courage pour la signature sans l’astuce de la note de service. D’ailleurs, à bon entendeur, un bon moyen de se faire une première idée de la maturité cyber d’un établissement de santé, c’est justement de regarder les fréquences de révision de la PSSI : si elle ne bouge qu’à chaque nouvelle lune de la saint-glinglin, ce n’est pas exactement bon signe…

On l’a vu, une PSSI est très technique. Si, comme dans le précédent article de DSIH susnommé, on la structure autour des 93 mesures de l’annexe A, autant le chapitre 5 concerne les mesures organisationnelles, autant les chapitres 7 et 8 sont beaucoup plus techniques, et il ne me viendrait pas à l’idée de mettre ce genre de document dans le parapheur d’une direction générale.

Point étonnant : ledit arrêté stipule que le document (donc, la note qui accompagne la PSSI) doit être « validé et revu dans les 36 mois précédant la date de publication de l’arrêté ». « Précédant » ? N’est-ce pas une coquille ? Ne serait-ce pas plutôt « suivant » ? La plupart des établissements de santé ne disposent pas d’un tel document antérieur au 3 juillet 2025 (et même du 16 juillet si l’on prend en compte la date de publication de l’arrêté au JO).

À suivre…


[1]   https://dsih.fr/articles/5971/pssi-et-care-d2-des-questions-pas-si-simples 

photo de Cartau
Cédric Cartau

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

Philips SpeechMike Ambient : un nouvel assistant IA portable pour transformer la documentation clinique

22 sept. 2025 - 11:46,

Communiqué

- Speech Processing Solutions

Speech Processing Solutions, leader mondial des solutions professionnelles de dictée sous la marque Philips, dévoile le Philips SpeechMike Ambient, un microphone intelligent de nouvelle génération qui place l’IA ambiante au service des soignants.

Illustration Le CHU de Nîmes innove dans son service d’oncologie

Le CHU de Nîmes innove dans son service d’oncologie

22 sept. 2025 - 10:36,

Communiqué

- Computer Engineering

L’établissement hospitalier du Gard a choisi de se doter de l’outil nomade mobiChimio pour améliorer le confort des infirmières et faciliter la traçabilité de l’administration des chimiothérapies aux patients. Entretien avec Emmanuel Coget, pharmacien dans l’unité de Pharmacie Oncologique du CHU Car...

Illustration L’IA au service des soignants et des patients à l’hôpital Foch

L’IA au service des soignants et des patients à l’hôpital Foch

01 sept. 2025 - 22:24,

Actualité

- Damien Dubois, DSIH

L’hôpital Foch continue sa transformation et intègre l’IA de manière concrète et progressive au sein de ses différents services, en partenariat avec des start-up et des acteurs clés du secteur.

Illustration IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

IA et santé : la FHF publie un livre blanc stratégique pour structurer l’innovation

05 sept. 2025 - 11:15,

Actualité

- DSIH

Le 3 septembre 2025, la Fédération Hospitalière de France (FHF) a dévoilé son livre blanc « L’IA en santé : qui est le maître ? – Ambitions et perspectives ». Ce document analyse les usages actuels de l’intelligence artificielle dans les établissements publics et propose une feuille de route pour un...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.