Publicité en cours de chargement...
Les huit piliers d’un SMSI
Pilier 1 : la gouvernance
Il s’agit de dire qui fait quoi : qui est la MOA (celui qui définit le besoin, arbitre sur les orientations et finance), avec le corollaire des instances projet (directeur MOA, chef de projet MOA, instance tactique et instance opérationnelle). Si ce sujet n’est pas réglé, rédigé et diffusé, ce n’est même pas la peine de poursuivre.
Pilier 2 : le corpus documentaire
Tout SMSI s’appuie sur un socle de documents politiques (la PSSI par exemple) et techniques (gestion des sauvegardes, des mots de passe, etc.). Ce corpus documentaire doit être listé, tenu à jour, régulièrement révisé, et chaque document doit posséder un propriétaire.
Pilier 3 : le système de gestion documentaire
Aussi bête qu’il y paraisse, les documents de l’ensemble du SMSI (et pas seulement ceux du pilier 2) doivent être stockés dans une GED unique et accessible avec des règles classiques de droit, de circuit de validation, etc.
Pilier 4 : l’appréciation des risques
Avant de protéger un SI, encore faut-il savoir contre quoi. L’appréciation peut être faite avec une méthode formelle ou avec un simple fichier Excel sur un coin de table, mais il en faut une. L’expérience montre que l’on découvre rarement des risques nouveaux à l’occasion de la rédaction de ce document, mais on met tout le monde d’accord sur la cartographie des risques, chiffrée et hiérarchisée.
Pilier 5 : le système d’audits et de contrôles
En termes de vocabulaire, les contrôles portent la plupart du temps sur des points précis (vulnérabilités Web, système de sauvegarde, etc.), alors que l’audit interne s’attache au fonctionnement du SMSI lui-même (c’est un peu « méta », mais c’est une exigence salutaire). Ces audits et ces contrôles doivent être planifiés sur trois ans. L’absence de ce pilier constitue une non-conformité majeure.
Pilier 6 : le système de gestion des incidents
Il s’agit d’un workflow général : système de déclaration, back-office de traitement, statistiques, etc.
Pilier 7 : le système d’indicateurs
Tout le SMSI se pilote, entre autres, par des indicateurs : taux de révision du socle documentaire, complétude des sauvegardes ; on n’a de limites que son imagination et les moyens de les maintenir.
Pilier 8 : le plan de formation
Tous les acteurs et parties prenantes d’un SMSI doivent être formés, à des degrés divers : on ne forme pas de la même manière une direction générale, des fournisseurs externes ou internes, des utilisateurs, des informaticiens. Mais il faut un plan de formation sur trois ans, qui alimente, entre autres, les indicateurs.
Il n’y a rien de complexe à mettre en œuvre dans ces huit piliers : généralement, de l’huile de coude et du bon sens suffisent – les établissements qui ont franchi le cap d’une certification ISO 27001 sont d’ailleurs souvent étonnés après coup de la simplicité du dispositif. L’enjeu est la maturité de l’organisation : focaliser sur deux ou trois piliers et se dispenser d’une approche globale est la meilleure méthode pour faire du surplace. Les auditeurs ISO qui viennent examiner le dispositif sont d’ailleurs redoutables : ne pas être parfait sur l’un de ces piliers ne constitue pas une non-conformité majeure puisque l’organisation doit s’inscrire dans une démarche d’amélioration continue, mais ne pas les avoir tous ciblés est rédhibitoire.
Avez-vous apprécié ce contenu ?
A lire également.

Le Groupe Softway Medical accueille Bain Capital Europe au sein de sa structure capitalistique
22 avril 2025 - 15:27,
Communiqué
- Groupe Softway Medical22 avril, 2025 – le Groupe Softway Medical, un leader européen des systèmes d’information en santé, à la fois éditeur, hébergeur et intégrateur pour les établissements de santé publics et privés en France, au Canada et à travers l’Europe, annonce aujourd’hui l’arrivée du fonds de capital-investissem...

L’IA en action : les conditions d’un déploiement réussi au sein des équipes de soins
21 avril 2025 - 18:55,
Tribune
- Arnaud HAVE, Directeur Conseil WeliomL’intégration de l’intelligence artificielle (IA) dans les établissements sanitaires et médico-sociaux représente un défi majeur – à la fois culturel, opérationnel et technique. Pour maximiser les bénéfices concrets de l’IA, les ambitions doivent être alignées sur la maturité de la structure, des éq...

AAP sur les innovations organisationnelles basées sur le numérique
14 avril 2025 - 21:50,
Actualité
- DSIH, Damien DuboisL’Agence régionale de santé d’Île-de-France a lancé début avril un appel à projets sur les innovations organisationnelles s’appuyant sur des solutions numériques et technologiques.

Greffes & transplantations : pour répondre aux enjeux majeurs du secteur, France Biotech mobilise les acteurs de l’innovation santé !
14 avril 2025 - 12:36,
Communiqué
- France BiotechL’ambition : accélérer l’innovation de rupture, faire émerger des solutions concrètes – biologiques, technologiques, thérapeutiques – et redonner espoir aux patients en attente de dons d’organe et de tissus.