PSSI informatique, la stratégie infaillible pour assurer la sécurité de votre système d'information
Selon le groupe Delta, depuis le début de la crise sanitaire, le nombre de cybermenaces a augmenté de… 400 % ! Et il n’y a pas un jour sans que la presse ne relate les enjeux liés à la sécurité informatique ou encore à la protection des données.
Bien sûr, si la menace touche beaucoup les particuliers, elle pèse aussi grandement sur les entreprises. À tel point que nombre d’entre elles font le choix de mener des actions concrètes et systématiques en ce sens.
La mise en place d’une PSSI informatique est l’une d’entre elles.
Responsables du SI, en quoi consiste concrètement une Politique de Sécurité des Systèmes d’Information ? Comment la rédiger et la déployer au sein de votre organisation ?
Cet article répond à toutes ces questions, avec en prime un Livre Blanc à télécharger ainsi que des exemples de Politique de Sécurité des Systèmes d’Information pour vous inspirer.
C’est quoi, au juste, une Politique de Sécurité des Systèmes d’Information ?
PSSI : définition
La PSSI, ou Politique de Sécurité des Systèmes d’Information, se définit comme un document de référence :
- reflétant la vision stratégique et les objectifs d’une organisation en matière de sécurité des systèmes d’information (SSI) ;
- définissant les règles de sécurité à adopter.
Ces principes de sécurité, élaborés suite à l’analyse des risques et des spécificités de la structure, se traduisent ensuite en plan d’action, qui permettra à tous d’appliquer de bonnes pratiques.
La PSSI constitue donc une démarche à la fois :
- stratégique, validée par la direction ;
- et opérationnelle, qui impacte tous les acteurs des systèmes d’information en service.
💡 À savoir : cette politique s’applique à tout type d’organisation : PME, PMI, industrie, administration, organisme, etc.
Exemple de PSSI informatique + Livre Blanc
Pour vous inspirer et comprendre tout ce qu’implique la rédaction et la mise en œuvre d’une PSSI, vous trouverez de nombreux exemples sur la toile.
En voici quelques-uns :
👉 La PSSI de l’université de Poitiers (exemple PDF)
💡 [Bonus] : vous voulez en savoir plus sur la PSSI informatique et sur son exécution opérationnelle ? Vous souhaitez connaître les outils qui peuvent vous accompagner dans cette tâche et les bons indicateurs à suivre pour mesurer l’avancée de vos actions ?
Téléchargez gratuitement notre Livre Blanc Piloter le plan d’action de votre feuille de route Sécurité PSSI, co-écrit avec VIRAGE Group, éditeur de Project Monitor.
« Piloter le plan d’action de votre feuille de route Sécurité PSSI » par Project Monitor
Télécharger le Livre BlancPourquoi avoir une PSSI ?
Quels enjeux ?
Les derniers mois ont été marqués par une croissance inquiétante des cyberattaques, et par leur niveau de professionnalisation de plus en plus élevé.
À titre d’illustration, des experts de l’ANSSI ont constaté que le nombre d’intrusions critiques dans les organisations françaises a augmenté de 37 % entre 2020 et 2021 (786 en 2020 contre 1082 en 2021).
Cette hausse s’explique à la fois par :
- l’évolution et l’amélioration constante des aptitudes des acteurs malveillants ;
- les multiples opportunités offertes par le développement de la transformation digitale des organisations et le rôle de plus en plus important qu’y jouent les systèmes d’information. Ce qui va souvent de pair avec des pratiques (involontairement) dangereuses de la part des collaborateurs…
D’où l’intérêt de mettre en place une PSSI, tant elle offre aux entreprises les clés pour maintenir un bon niveau de sécurité pour leurs systèmes d’information.
Quel est l’objectif d’une Politique de Sécurité du Système d’Information ?
Dans ce contexte de plus en plus critique, la rédaction d’une Politique de Sécurité des Systèmes d’Information est l’occasion :
- d’évaluer les risques qui pèsent sur l’entité ;
- de détecter les failles éventuelles ;
- de déterminer les objectifs à atteindre en termes de SSI ;
- de prendre en conséquence les mesures préventives et correctives nécessaires, par le biais d’un plan d’action.
En parallèle, la PSSI a pour but d’être diffusée à l’ensemble des acteurs du système d’information en service. En ce sens, elle constitue un excellent outil de communication, pour que chacun :
- obtienne le même niveau d’information et prenne connaissance des bons usages en matière de sécurité SI ;
- sache comment réagir en cas de problème.
Comment rédiger une PSSI ? Le contenu
Chaque structure est différente et compose avec ses propres particularités et contraintes. La Politique SSI s’élabore alors sur mesure, et on rencontre de nombreuses variantes sur internet.
Toutefois, on détecte aussi de grandes lignes similaires, en partie issues du Guide de sécurité des systèmes d’information élaboré par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information) entre 2002 et 2004.
Plus concrètement, une PSSI doit généralement contenir les 3 parties suivantes :
# 1 L’introduction
On y retrouve l’ensemble des éléments qui définissent les spécificités de l’entreprise et du SI concerné, à savoir :
- ses enjeux,
- ses besoins,
- ses contraintes.
En somme, cette introduction porte la vision stratégique de l’organisation.
Plus précisément, voici les différents éléments à y faire figurer :
Le périmètre d’application de la PSSI
Une PSSI informatique peut avoir des périmètres d’application variés et se rapporter, par exemple, à la totalité du système d’information ou seulement à une partie.
Les acteurs impliqués
Il s’agit notamment de vous demander :
- Qui est en charge de la rédaction de la PSSI ?
- À qui est-elle destinée ?
- De quelle manière impactera-t-elle les collaborateurs ?
Les enjeux de sécurité de l’entreprise
Voici le cœur du sujet.
Les enjeux de sécurité se basent sur la situation propre de l’entreprise, et en tracer les contours implique d’examiner :
- son environnement,
- le patrimoine à protéger,
- l’importance de la sécurité au regard du contexte interne et externe.
Le cadre légal et règlementaire à respecter
Une PSSI se construit conformément aux règles et normes qui imposent certaines pratiques en matière de gestion du système d’information. Par exemple, côté protection des données personnelles, on pense aux prescriptions du RGPD ou encore de la CNIL.
Il peut aussi s’agir des règles édictées par votre propre règlement intérieur.
Enfin, mentionnons les nombreux référentiels qui fournissent un cadre aux actions de sécurité. Quelques exemples :
👉 PSSI et ISO 27001 : la norme ISO 27001 accompagne l’élaboration d’une Politique de Sécurité du Système d’Information, notamment l’identification des bonnes mesures de sécurité, en faisant état des exigences pour mettre en place une SMSI (Système de Management de la Sécurité de l’Information) efficace.
👉 PSSI et ANSSI : l’ANSSI, qui fait office d’autorité nationale de sécurité et de défense des systèmes d’information, présente sur son site de nombreux textes réglementaires ainsi que des conseils autour des grandes thématiques du domaine.
Les menaces et le patrimoine à protéger
Une PSSI informatique induit de dresser un état des lieux des risques qui planent sur l’organisation. Le document doit donc faire mention :
- de ces différentes menaces,
- de leur degré de criticité,
- du patrimoine qu’elles peuvent impacter,
- des divers scénarios envisagés,
- des actions à mener pour réduire ou éviter ces risques.
Il convient ensuite de mettre en place une hiérarchisation, dans l’objectif de prioriser les opérations au moment de passer au plan d’action.
# 2 La méthodologie
Toujours selon le Guide de sécurité des systèmes d’information, vient ensuite une deuxième partie relative à la méthodologie.
Plus précisément, elle consiste à présenter vos dispositions pour conduire votre projet PSSI et élaborer les différentes règles de sécurité qui en découleront.
#3 Les principes de sécurité
Ce dernier point se révèle crucial, car il touche à l’opérationnel en édictant les grands principes à respecter au quotidien, déclinés en règles adaptées au contexte de sécurité.
Ces principes concernent principalement 16 domaines, regroupés en 3 champs d’action principaux :
- Les principes organisationnels :
- La politique de sécurité,
- L’organisation de la sécurité,
- La gestion des risques SSI,
- La sécurité et le cycle de vie du logiciel,
- L’assurance et la certification.
- Les principes de mise en œuvre :
- Les aspects humains,
- La planification de la continuité des activités,
- La gestion des incidents,
- La sensibilisation et la formation,
- L’exploitation,
- Les aspects physiques et environnementaux.
- Les principes techniques :
- L’identification et l’authentification,
- Le contrôle d’accès logique aux biens,
- La journalisation,
- Les infrastructures de gestion des clés cryptographiques,
- Les signaux compromettants.
Vous l’aurez compris, le respect de chacun de ces principes implique la définition des règles de sécurité qui composeront la PSSI, celles que les collaborateurs seront tenus de respecter au quotidien.
💡 À savoir : d’après la DCSSI, une PSSI inclut une 4e partie correspondant à la liste des documents de références de la SSI. L’occasion de joindre les règles, normes et autres textes législatifs évoqués précédemment.
Comment faire une politique de sécurité informatique ? La mise en œuvre
On vient de voir que de nombreuses règles découlent de la vision stratégique de la PSSI, et vous pourriez être tenté de vous lancer à bras le corps dans leur mise en application.
Oui mais voilà, dans ces conditions, difficile de garantir à 100 % la maîtrise de la déclinaison de la stratégie globale, des opérations ou encore du budget.
D’où l’intérêt de déployer votre plan d’action PSSI de façon progressive, un peu à la manière d’une gestion de projet.
De la sorte, vous :
- priorisez et planifiez les mesures à appliquer grâce à la fixation de jalons (car toutes ces mesures ne seront pas déployées de manière simultanée !) ;
- évaluez l’avancée des opérations ;
- communiquez sur cette avancée, notamment avec la direction.
Plusieurs étapes constituent ce plan d’action.
# 1 Gérer les responsabilités
Vous l’aurez compris, la sécurité des systèmes d’information revêt une dimension holistique.
Par conséquent, si la PSSI est impulsée par la direction et le responsable de la sécurité du système d’information, elle implique également l’intervention d’autres acteurs, à commencer par les directions métiers qui ont un important rôle opérationnel à jouer.
De ce fait, à chaque règle de sécurité, le responsable SI est tenu de déterminer toutes ces parties prenantes concernées et le patrimoine à protéger associé.
# 2 Déterminer les besoins en ressources
À l’instar de n’importe quelle gestion de projet, il convient par la suite de caractériser les ressources que l’exécution du plan d’action va mobiliser, qu’il s’agisse de ressources :
- humaines,
- matérielles,
- ou logicielles.
# 3 Prioriser les règles de sécurité et les planifier
Comme vous ne pouvez pas tout mener de front, priorisez les règles de sécurité à mettre en œuvre, puis planifiez le tout dans le temps, notamment à l’aide de jalons.
💡 Sur quels critères hiérarchiser ces règles ? Divers éléments peuvent être pris en compte :
- le degré d’urgence,
- le nombre de ressources que nécessite l’exécution de la règle,`
- la facilité de déploiement, etc.
#4 S’améliorer en continu
Il ne s’agit pas d’une étape à proprement parler, mais votre plan opérationnel (tout comme votre PSSI d’ailleurs) doit s’inscrire dans une démarche d’amélioration continue, et ne pas rester figé dans le temps.
Afin d’accompagner au mieux l’évolution de votre organisation, mais aussi celle des risques cyber, on vous suggère de remettre régulièrement en question vos choix et dispositions, puis d’apporter des actions correctives.
Que retenir ?
La Politique de Sécurité des Systèmes d’Information se définit donc à la fois comme un document de référence et une démarche globale œuvrant à la protection ainsi qu’à la performance du SI.
Elle se structure autour d’une solide vision stratégique, co-construite entre la direction et les acteurs du système d’information, et prend en compte les spécificités de l’entité ainsi que le contexte de sécurité dans lequel elle évolue.
Mais il n’est pas uniquement question de stratégie ! La force du PSSI informatique réside aussi dans sa déclinaison en plan d’action opérationnel.
Ce dernier, mené telle une gestion de projet, apporte une réponse efficiente aux enjeux de sécurité de l’entreprise. Inscrit dans une démarche d’amélioration continue, il la prépare alors à ses défis futurs.
Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !
Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).
Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.