[Sécurité][PGSSI]déclinaison de la Politique Générale de Sécurité du Système d'information d'Etat au Centre Hospitalier de Firminy

Le plan Hôpital Numérique a permis au établissement de santé d'élevé leur niveau d'exigence en matière de sécurité. L'un des éléments fondateur des pré-requis nécessaire à l'obtention d'une subvention pour le plan hôpital Numérique est la réalisation d'une Politique Générale de Sécurité du Système d'information autrement nommée PGSSI. Ce document reprend l'ensemble des domaines abordés par le Règlement Général de Sécurité (RGS) et la norme ISO 27001 sur la sécurité d'un Système d'information.

L'objectif étant de définir l'organisation que le Centre Hospitalier met en place pour maîtriser ses domaines. Tout d'abord il convient de définir la notion de sécurité pour le SI : elle se caractérise par les 4 critères fondamentaux suivants :

  • (D) : Disponibilité

  • (I) : Intégrité

  • (C) : Confidentialité

  • (T) : Traçabilité

La PGSSI reprend ensuite toute la déclinaison opérationnelle de la méthodologie EBIOS pour couvrir les risques encourus par le système d'information de l'établissement. Elle explique notamment comment sont déterminés les scénarios identifiés par l'établissement et qu'elles  sont les menaces considérées. Elle précise également les principes de sécurité suivant qui alimentent le plan d'actions à mener pour réduire la criticité des risques :

  • Sécurité  en profondeur : globalité, coordination, dynamisme, suffisance, complétude, démonstration, multi-ligne de défense et responsabilisation des acteurs

  • Une protection rapprochée de la donnée

  • Identifications des patients

  • Maîtrises des accès

  • Traçabilité et Imputation des actions

  • Continuité de la PSSI-E

Tout le corpus documentaire constituant la description de la mise en œuvre d'éléments de sécurité est décrit dans cette PGSSI.

Les grands chapitres que l'on aborde dans la deuxième partie de la PSSI sont :

  • Rôle et responsabilité du RSSI

  • Définition de la cellule de pilotage de la sécurité de la sécurité du système d'information (CPSSI)

  • Définition de la cellule Opérationnelle de la sécurité de la sécurité du système d'information (COSSI)

  • La sécurité des ressources humaines

  • Gestion des Actifs du SI

  • Contrôle des Accès physiques et au SI

  • Cryptographie

  • Sécurité physique et environnementale

  • Sécurité liée à l'exploitation du SI

  • Sécurité des communications

  • Acquisition, développement et maintenance du SI

  • Relation avec les fournisseurs Gestion des incidents liés à la sécurité de l'information

  • Gestion de la continuité d'activité et de son plan de Reprise (PCA/PRA)

  • Conformité aux obligations légales et réglementaires

Enfin elle se doit d'être institutionnalisée et donc à ce titre le directeur de l'établissement doit s’impliquer dans sa mise en œuvre.