Damien Ribeiro, responsable du Pôle GCSSI chez GPLExpert. ©DR
GPLExpert vient d’être renouvelé pour la certification HDS / ISO 27001. Pourriez-vous nous en parler ?
Damien Ribeiro : En septembre 2018, nous nous étions en effet engagés dans le processus de certification HDS, une démarche exigeante qui impose de nombreuses obligations sur les plans organisationnel, technique, règlementaire et contractuel, notamment issues de la norme ISO 27001 relative à la sécurité du système d’information. Grâce à la forte mobilisation de nos équipes, nous avons obtenu notre premier certificat le 2 décembre 2019. Celui-ci est valable trois ans. Après deux audits de surveillance, en 2020 et 2021, nous nous sommes soumis, avec succès, à un audit de renouvellement, qui nous engage pour trois nouvelles années.
Comment vous êtes-vous organisés pour ce renouvellement ?
Pour l’audit initial comme pour le renouvellement, nous avons identifié deux co-pilotes, le Responsable du Système de Management de la Sécurité de l’Information (RSMSI) et le responsable Qualité, notamment chargés d’orienter les auditeurs vers les bons interlocuteurs en fonction des thématiques adressées. Plusieurs personnes étaient ici concernées. La direction générale est ainsi intervenue sur l’engagement et les orientations stratégiques de GPLExpert, le service Qualité sur les procédures relatives à la gestion documentaire, et le Responsable de la Sécurité du Système d’Information (RSSI), en l’occurrence moi-même, sur tout ce qui a trait à l’organisation de la sécurité en interne. Sans oublier bien sûr le Délégué à la Protection des données (DPO) pour la mise en œuvre des procédures RGPD, le Directeur des Systèmes d’Information (DSI) pour détailler le fonctionnement de nos outils au quotidien, le service Hébergement sur la gestion des infrastructures, les Ressources Humaines sur les procédures d’embauche et d’habilitation, et l’équipe d’audit interne. Mais cette liste n’est pas exhaustive, car tout salarié peut être interrogé lors de l’audit. C’est pourquoi, quel que soit leur poste, tous nos collaborateurs sont systématiquement formés aux fondamentaux de la certification HDS / ISO 27001 et bénéficient régulièrement de sessions de rappel.
Qu’a changé cette certification pour vous et quels conseils donneriez-vous à ceux souhaitant s’y engager ?
L’obtention de la certification a conforté des valeurs que nous portions déjà en matière de sécurité de l’information. Le principal changement apporté a eu trait à la formalisation de nos procédures, pour lesquelles plus de 200 référentiels ont été élaborés. Cette rigueur absolue bénéficie aujourd’hui à nos clients, car elle vient nourrir leur propre politique de management interne de la sécurité. Mais comme je le disais, la certification est une démarche exigeante, qui mobilise de nombreuses ressources et nécessite des compétences spécifiques. Je conseillerais donc d’abord de se former aux attendus du certificat, pour bien en saisir les enjeux, mais aussi et surtout de se faire accompagner par un organisme expert. C’est ce que nous avions nous-mêmes fait pour le premier certificat. Nous avons depuis créé une prestation dédiée, dont tous peuvent bénéficier, les établissements de santé et les éditeurs qui les équipent, bien sûr, mais aussi les industriels opérant sur d’autres secteurs d’activité.
> Plus d'informations sur le site de GPLExpert.
Article publié dans l'édition de décembre 2022 d'Hospitalia à lire ici.
Damien Ribeiro : En septembre 2018, nous nous étions en effet engagés dans le processus de certification HDS, une démarche exigeante qui impose de nombreuses obligations sur les plans organisationnel, technique, règlementaire et contractuel, notamment issues de la norme ISO 27001 relative à la sécurité du système d’information. Grâce à la forte mobilisation de nos équipes, nous avons obtenu notre premier certificat le 2 décembre 2019. Celui-ci est valable trois ans. Après deux audits de surveillance, en 2020 et 2021, nous nous sommes soumis, avec succès, à un audit de renouvellement, qui nous engage pour trois nouvelles années.
Comment vous êtes-vous organisés pour ce renouvellement ?
Pour l’audit initial comme pour le renouvellement, nous avons identifié deux co-pilotes, le Responsable du Système de Management de la Sécurité de l’Information (RSMSI) et le responsable Qualité, notamment chargés d’orienter les auditeurs vers les bons interlocuteurs en fonction des thématiques adressées. Plusieurs personnes étaient ici concernées. La direction générale est ainsi intervenue sur l’engagement et les orientations stratégiques de GPLExpert, le service Qualité sur les procédures relatives à la gestion documentaire, et le Responsable de la Sécurité du Système d’Information (RSSI), en l’occurrence moi-même, sur tout ce qui a trait à l’organisation de la sécurité en interne. Sans oublier bien sûr le Délégué à la Protection des données (DPO) pour la mise en œuvre des procédures RGPD, le Directeur des Systèmes d’Information (DSI) pour détailler le fonctionnement de nos outils au quotidien, le service Hébergement sur la gestion des infrastructures, les Ressources Humaines sur les procédures d’embauche et d’habilitation, et l’équipe d’audit interne. Mais cette liste n’est pas exhaustive, car tout salarié peut être interrogé lors de l’audit. C’est pourquoi, quel que soit leur poste, tous nos collaborateurs sont systématiquement formés aux fondamentaux de la certification HDS / ISO 27001 et bénéficient régulièrement de sessions de rappel.
Qu’a changé cette certification pour vous et quels conseils donneriez-vous à ceux souhaitant s’y engager ?
L’obtention de la certification a conforté des valeurs que nous portions déjà en matière de sécurité de l’information. Le principal changement apporté a eu trait à la formalisation de nos procédures, pour lesquelles plus de 200 référentiels ont été élaborés. Cette rigueur absolue bénéficie aujourd’hui à nos clients, car elle vient nourrir leur propre politique de management interne de la sécurité. Mais comme je le disais, la certification est une démarche exigeante, qui mobilise de nombreuses ressources et nécessite des compétences spécifiques. Je conseillerais donc d’abord de se former aux attendus du certificat, pour bien en saisir les enjeux, mais aussi et surtout de se faire accompagner par un organisme expert. C’est ce que nous avions nous-mêmes fait pour le premier certificat. Nous avons depuis créé une prestation dédiée, dont tous peuvent bénéficier, les établissements de santé et les éditeurs qui les équipent, bien sûr, mais aussi les industriels opérant sur d’autres secteurs d’activité.
> Plus d'informations sur le site de GPLExpert.
Article publié dans l'édition de décembre 2022 d'Hospitalia à lire ici.
Envoyer à un ami
Version imprimable
Partager