Sécurité du Systeme d'Information

PSSI : le fondement de votre sécurité informatique

Sans politique de sécurité des systèmes d’information formalisée et validée par votre direction, votre établissement ne dispose pas d’un cadre de sécurité. Il dispose seulement de pratiques isolées. Face à la multiplication des cyberattaques ciblant le secteur de la santé, ce document de référence n’est plus une option : c’est votre première ligne de défense pour protéger vos systèmes d’information et les données personnelles de vos patients.

gplexpert rédige, met à jour et fait valider votre PSSI en l’ancrant dans la réalité opérationnelle de votre organisation ; pas dans un modèle générique inadapté à votre contexte. Notre approche reflète la vision stratégique de la direction tout en répondant aux exigences concrètes de vos équipes métiers.

NOTRE EXPERTISE

VOS BÉNÉFICES

Sommaire

Pourquoi est-il important d'avoir une PSSI ?

La politique de sécurité des systèmes d’information est le document de référence fondateur de toute démarche SSI sérieuse. Sans elle, les actions de sécurité informatique sont dispersées, les responsabilités floues et les obligations réglementaires non couvertes. Elle constitue à la fois un outil de pilotage stratégique et un guide opérationnel pour maintenir un certain niveau de sécurité dans la durée.

Dans le secteur de la santé, quatre raisons rendent son élaboration indispensable. Les organisations sanitaires sont parmi les cibles privilégiées des cyberattaquants. Un cadre formalisé réduit considérablement la surface d’exposition aux menaces. Les réglementations l’imposent explicitement : NIS2, RGPD, HDS, programme CaRE et certification HAS exigent tous une politique de sécurité du système d’information à jour. Elle structure et coordonne l’ensemble de vos actions en matière de sécurité : analyse des risques, gestion des incidents, continuité d’activité, sensibilisation en leur donnant une cohérence globale. Enfin, elle vous protège juridiquement : en cas d’incident, son absence peut constituer une faute caractérisée devant les autorités de contrôle.

La PSSI reflète la vision stratégique de la direction en matière de sécurité de l’information. Elle définit les objectifs à atteindre, les règles à respecter et les moyens à mettre en œuvre pour que la sécurité des systèmes ne soit plus subie mais pilotée.

Les acteurs de la PSSI

Une politique de sécurité efficace implique l’ensemble des responsables de la sécurité et des parties prenantes de l’organisation, pas seulement la DSI.

  1. La direction générale valide et signe la PSSI. Ce document reflète la vision stratégique de la direction en matière de sécurité informatique : sans son engagement, il n’a aucune portée réelle sur l’organisation.
  2. Le RSSI (Responsable de la Sécurité des Systèmes d’Information) est le pilote de la politique de sécurité. Il supervise son élaboration, veille à la cohérence avec les normes et référentiels en vigueur, et organise les mises à jour annuelles. gplexpert peut assurer cette fonction en mode externalisé pour les organisations qui ne disposent pas de RSSI en interne.
  3. La DSI traduit les règles de sécurité définies dans la PSSI en mesures techniques concrètes : gestion des accès, authentification, déploiement des outils de sécurité, supervision des réseaux et des systèmes.
  4. Les directions métiers contribuent à l’identification des risques spécifiques à leurs activités et sont responsables de la mise en œuvre des règles de sécurité au sein de leurs équipes. Leur implication est clé pour une politique ancrée dans la réalité opérationnelle.
  5. Le DPO veille à l’articulation entre la PSSI et la protection des données personnelles, notamment sur la confidentialité des données de santé, le cycle de vie des données et la gestion des violations.
  6. Les utilisateurs et les soignants, administratifs, prestataires, éditeurs de logiciels sont soumis aux règles de sécurité définies dans la PSSI. Leur adhésion et leur formation sont les conditions de son efficacité réelle et du niveau de sécurité atteint par l’organisation.
Schéma PSSI

Les principes fondamentaux d’une politique de sécurité

Moindre privilège : chaque utilisateur ne dispose que des droits strictement nécessaires à ses fonctions, limitant l’impact d’une compromission sur l’ensemble du système d’information.

Défense en profondeur : la sécurité des systèmes s’organise en couches complémentaires : périmètre réseau, postes de travail, contrôle des identités, protection des données, supervision, formation des employés. Si une couche est franchie, les suivantes contiennent la propagation.

Traçabilité et contrôle : toute action sur le système est enregistrée et associée à un utilisateur identifié, pour analyser les comportements anormaux et produire des preuves lors des audits réglementaires.

Continuité : les règles de sécurité sont conçues pour ne jamais compromettre la disponibilité des services de soins, avec des procédures adaptées aux situations dégradées et des plans de reprise testés.

Révision continue : les menaces évoluent, les technologies changent. La politique de sécurité du système d’information est mise à jour régulièrement pour maintenir un niveau de sécurité adapté aux risques réels de l’organisation.

Normes et standards de référence

gplexpert aligne votre politique de sécurité des systèmes d’information sur les normes reconnues par les autorités nationales et sectorielles, généralement combinées pour une couverture globale :

ISO 27001 / ISO 27002 : standard international de référence pour la sécurité de l’information et le management de la SSI. gplexpert est certifié ISO 27001 : nous élaborons votre PSSI en cohérence avec ce référentiel, ce qui constitue une assurance de qualité supplémentaire pour votre organisation.

PGSSI-S : référentiel sectoriel de l’ANS, incontournable pour toute politique de sécurité hospitalière. Il couvre la gestion des identités des professionnels de santé, l’hébergement HDS et les exigences d’interopérabilité sécurisée entre systèmes d’information.

Recommandations ANSSI : les guides techniques de l’ANSSI alimentent les règles de sécurité opérationnelles de votre PSSI : gestion des mots de passe, sécurité des réseaux, durcissement des systèmes, authentification et gestion des incidents.

NIS2 et RGPD : votre politique de sécurité intègre les obligations de ces deux textes pour une mise en conformité globale, sans redondance entre les différentes réglementations applicables à votre organisation.

Comment assurer la sécurité des systèmes d’information au quotidien ?

Une PSSI n’a de valeur que si elle se traduit en actions concrètes. gplexpert vous aide à mettre en œuvre les pratiques opérationnelles essentielles pour maintenir un niveau de sécurité optimal : sauvegardes régulières avec tests de restauration documentés, gestion rigoureuse des mises à jour et du patch management, supervision des journaux d’événements pour détecter les menaces, contrôle périodique des droits d’accès sur l’ensemble des systèmes, et sensibilisation continue des employés aux règles de sécurité. Ces pratiques constituent le socle opérationnel de votre politique de sécurité du système d’information, ce qui transforme un document stratégique en une protection réelle et active de votre organisation.

Comment gérer les incidents de sécurité ?

La politique de sécurité des systèmes d’information définit le cadre de détection, de qualification et de réponse aux incidents. Elle précise les critères d’évaluation d’un incident significatif, les délais et modalités de notification obligatoire à l’ANS et à la CNIL en cas de violation de données personnelles. Elle désigne les responsables de la cellule de crise, organise la communication en situation dégradée et définit les plans de retour à la normale. Cette section est directement articulée avec votre PCA/PRA pour une gestion des risques coordonnée et une continuité des services garantie face à toute situation de crise.

PSSI et réglementation

Programme CaRE Domaine 2 : prérequis documentaire obligatoire. Sans politique de sécurité validée, votre dossier de financement est irrecevable.

NIS2 : obligation formelle de politique de sécurité des systèmes d’information pour les entités essentielles et importantes, dont de nombreux établissements de santé.

RGPD / HDS : la PSSI formalise les mesures de protection des données personnelles de santé exigées par ces deux référentiels réglementaires.

Certification HAS 6e cycle : une politique de sécurité à jour est un signal fort de maturité numérique lors des visites d’experts-visiteurs, en matière de sécurité du système d’information hospitalier.

FAQ

Pourquoi est-il important d'avoir une PSSI ?

La politique de sécurité des systèmes d’information est le document de référence qui structure l’ensemble de votre démarche SSI. Sans elle, les risques ne sont pas identifiés, les règles de sécurité ne sont pas connues et les réglementations ne sont pas couvertes. Dans le secteur de la santé, où les données personnelles des patients sont en jeu et où la continuité des soins ne tolère aucune défaillance, une PSSI formalisée protège à la fois vos patients, vos employés, votre direction et l’ensemble de votre organisation.

Une mise à jour annuelle est recommandée par l’ANS et l’ANSSI, et à chaque évolution significative des systèmes d’information ou des réglementations applicables. Une politique de sécurité non révisée depuis plus de deux ans est généralement considérée comme obsolète lors des audits.

La direction générale. La politique de sécurité des systèmes d’information reflète la vision stratégique de la direction : sans validation au plus haut niveau, elle n’engage personne et n’a aucune portée sur l’organisation.

Oui. Les règles de sécurité applicables aux tiers intervenant sur vos systèmes d’information sont définies dans la PSSI et intégrées dans les contrats. Les fournisseurs et prestataires doivent démontrer leur conformité aux exigences SSI de votre organisation.

Dotez votre organisation d'une politique de sécurité solide et conforme