Publicité en cours de chargement...
Les huit piliers d’un SMSI
Pilier 1 : la gouvernance
Il s’agit de dire qui fait quoi : qui est la MOA (celui qui définit le besoin, arbitre sur les orientations et finance), avec le corollaire des instances projet (directeur MOA, chef de projet MOA, instance tactique et instance opérationnelle). Si ce sujet n’est pas réglé, rédigé et diffusé, ce n’est même pas la peine de poursuivre.
Pilier 2 : le corpus documentaire
Tout SMSI s’appuie sur un socle de documents politiques (la PSSI par exemple) et techniques (gestion des sauvegardes, des mots de passe, etc.). Ce corpus documentaire doit être listé, tenu à jour, régulièrement révisé, et chaque document doit posséder un propriétaire.
Pilier 3 : le système de gestion documentaire
Aussi bête qu’il y paraisse, les documents de l’ensemble du SMSI (et pas seulement ceux du pilier 2) doivent être stockés dans une GED unique et accessible avec des règles classiques de droit, de circuit de validation, etc.
Pilier 4 : l’appréciation des risques
Avant de protéger un SI, encore faut-il savoir contre quoi. L’appréciation peut être faite avec une méthode formelle ou avec un simple fichier Excel sur un coin de table, mais il en faut une. L’expérience montre que l’on découvre rarement des risques nouveaux à l’occasion de la rédaction de ce document, mais on met tout le monde d’accord sur la cartographie des risques, chiffrée et hiérarchisée.
Pilier 5 : le système d’audits et de contrôles
En termes de vocabulaire, les contrôles portent la plupart du temps sur des points précis (vulnérabilités Web, système de sauvegarde, etc.), alors que l’audit interne s’attache au fonctionnement du SMSI lui-même (c’est un peu « méta », mais c’est une exigence salutaire). Ces audits et ces contrôles doivent être planifiés sur trois ans. L’absence de ce pilier constitue une non-conformité majeure.
Pilier 6 : le système de gestion des incidents
Il s’agit d’un workflow général : système de déclaration, back-office de traitement, statistiques, etc.
Pilier 7 : le système d’indicateurs
Tout le SMSI se pilote, entre autres, par des indicateurs : taux de révision du socle documentaire, complétude des sauvegardes ; on n’a de limites que son imagination et les moyens de les maintenir.
Pilier 8 : le plan de formation
Tous les acteurs et parties prenantes d’un SMSI doivent être formés, à des degrés divers : on ne forme pas de la même manière une direction générale, des fournisseurs externes ou internes, des utilisateurs, des informaticiens. Mais il faut un plan de formation sur trois ans, qui alimente, entre autres, les indicateurs.
Il n’y a rien de complexe à mettre en œuvre dans ces huit piliers : généralement, de l’huile de coude et du bon sens suffisent – les établissements qui ont franchi le cap d’une certification ISO 27001 sont d’ailleurs souvent étonnés après coup de la simplicité du dispositif. L’enjeu est la maturité de l’organisation : focaliser sur deux ou trois piliers et se dispenser d’une approche globale est la meilleure méthode pour faire du surplace. Les auditeurs ISO qui viennent examiner le dispositif sont d’ailleurs redoutables : ne pas être parfait sur l’un de ces piliers ne constitue pas une non-conformité majeure puisque l’organisation doit s’inscrire dans une démarche d’amélioration continue, mais ne pas les avoir tous ciblés est rédhibitoire.
Avez-vous apprécié ce contenu ?
A lire également.

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Health Data Hub dévoile les 17 lauréats de son premier appel à manifestation d’intérêt portant sur le Catalogue du SNDS
07 juil. 2025 - 23:50,
Communiqué
- Health Data HubLe Catalogue du Système national des données de santé (SNDS) fait référence à l’ensemble des bases de données de partenaires qui sont copiées dans l’environnement technique du Health Data Hub dans l’optique de mutualiser les efforts de croisement avec les données de la base principale de l’Assurance...

La Délégation au numérique en santé (DNS) et UniHA concluent un partenariat
07 juil. 2025 - 23:28,
Tribune
- UNIHALe jeudi 3 juillet 2025, Hela Ghariani, co-responsable du numérique en santé à la Délégation au numérique en santé (DNS) du ministère de la Santé, et Pascale Mocaër, Présidente d’UniHA, ont signé un partenariat pour favoriser le passage à l’échelle des solutions innovantes testées dans les tiers-lie...