Les huit piliers d’un SMSI

08 juin 2021 - 01:07,

Tribune

- Cédric Cartau
Les travaux sont en cours, sur le plan national, pour sécuriser les SI des établissements de santé, malmenés ces derniers mois à la suite des attaques de Dax et de Villefranche. Avant d’être une question de budget – on a une fâcheuse tendance à tout ramener à des questions de sous dans ce pays –, c’est d’abord une question de démarche. Ce qui est en train d’être mis en place s’appelle tout simplement un SMSI (Système de management de la sécurité de l’information), concept développé par la norme ISO 27001. Et un SMSI suppose le respect de huit piliers, qu’il s’agisse de l’échelon national ou de la mise en place d’un dispositif équivalent au sein d’un établissement de santé.

Pilier 1 : la gouvernance
Il s’agit de dire qui fait quoi : qui est la MOA (celui qui définit le besoin, arbitre sur les orientations et finance), avec le corollaire des instances projet (directeur MOA, chef de projet MOA, instance tactique et instance opérationnelle). Si ce sujet n’est pas réglé, rédigé et diffusé, ce n’est même pas la peine de poursuivre.

Pilier 2 : le corpus documentaire
Tout SMSI s’appuie sur un socle de documents politiques (la PSSI par exemple) et techniques (gestion des sauvegardes, des mots de passe, etc.). Ce corpus documentaire doit être listé, tenu à jour, régulièrement révisé, et chaque document doit posséder un propriétaire.

Pilier 3 : le système de gestion documentaire
Aussi bête qu’il y paraisse, les documents de l’ensemble du SMSI (et pas seulement ceux du pilier 2) doivent être stockés dans une GED unique et accessible avec des règles classiques de droit, de circuit de validation, etc.

Pilier 4 : l’appréciation des risques
Avant de protéger un SI, encore faut-il savoir contre quoi. L’appréciation peut être faite avec une méthode formelle ou avec un simple fichier Excel sur un coin de table, mais il en faut une. L’expérience montre que l’on découvre rarement des risques nouveaux à l’occasion de la rédaction de ce document, mais on met tout le monde d’accord sur la cartographie des risques, chiffrée et hiérarchisée.

Pilier 5 : le système d’audits et de contrôles
En termes de vocabulaire, les contrôles portent la plupart du temps sur des points précis (vulnérabilités Web, système de sauvegarde, etc.), alors que l’audit interne s’attache au fonctionnement du SMSI lui-même (c’est un peu « méta », mais c’est une exigence salutaire). Ces audits et ces contrôles doivent être planifiés sur trois ans. L’absence de ce pilier constitue une non-conformité majeure.

Pilier 6 : le système de gestion des incidents
Il s’agit d’un workflow général : système de déclaration, back-office de traitement, statistiques, etc.

Pilier 7 : le système d’indicateurs
Tout le SMSI se pilote, entre autres, par des indicateurs : taux de révision du socle documentaire, complétude des sauvegardes ; on n’a de limites que son imagination et les moyens de les maintenir.

Pilier 8 : le plan de formation
Tous les acteurs et parties prenantes d’un SMSI doivent être formés, à des degrés divers : on ne forme pas de la même manière une direction générale, des fournisseurs externes ou internes, des utilisateurs, des informaticiens. Mais il faut un plan de formation sur trois ans, qui alimente, entre autres, les indicateurs.

Il n’y a rien de complexe à mettre en œuvre dans ces huit piliers : généralement, de l’huile de coude et du bon sens suffisent – les établissements qui ont franchi le cap d’une certification ISO 27001 sont d’ailleurs souvent étonnés après coup de la simplicité du dispositif. L’enjeu est la maturité de l’organisation : focaliser sur deux ou trois piliers et se dispenser d’une approche globale est la meilleure méthode pour faire du surplace. Les auditeurs ISO qui viennent examiner le dispositif sont d’ailleurs redoutables : ne pas être parfait sur l’un de ces piliers ne constitue pas une non-conformité majeure puisque l’organisation doit s’inscrire dans une démarche d’amélioration continue, mais ne pas les avoir tous ciblés est rédhibitoire.

Avez-vous apprécié ce contenu ?

A lire également.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.

Contact

Nos marques

Logo DSIHLogo Thema Radiologie