PSSI: comment élaborer votre Politique de Sécurité des Systèmes d Information ?
PSSI: comment élaborer votre Politique de Sécurité des Systèmes d'Information?
Une Politique de Sécurité des Systèmes d’Information (PSSI) a pour but de fixer un cadre stratégique afin de protéger le SI d’une organisation face à toutes les cybermenaces, qu'elles soient internes ou externes, malveillantes ou issues d’une erreur humaine.
La PSSI est formalisée dans un document qui reflète la vision stratégique de la direction en matière de cybersécurité. Ce document décrit de façon exhaustive l’ensemble des objectifs fixés, les règles et les mesures de sécurité, les processus à suivre… Il fournit ainsi au RSSI, aux collaborateurs, mais aussi aux sous-traitants et aux fournisseurs une vue claire sur la politique de cybersécurité mise en œuvre.
Quelles sont les étapes à suivre pour construire votre PSSI ?
Délimiter le cadre de la PSSI
Pour commencer, il est important de prendre le temps de cartographier l’intégralité du système d’information et de l’environnement informatique de votre organisation : serveurs, réseaux, applications, terminaux, données… votre PSSI doit tenir compte de tous ces éléments pour être réellement pertinente et efficace.
Il convient également de prendre en compte l’aspect réglementaire pour construire la PSSI. Certaines législations, comme la RGPD, influent grandement sur la stratégie de protection des données. Il en va de même pour la définition de certains process : par exemple si votre organisation est victime d’un vol de données, il est impératif de notifier la CNIL dans les 72 heures suivantes.
L’ensemble de ces composantes doivent être prises en compte pour poser les bases de la PSSI.
Identifier les enjeux de sécurité internes et externes
L’étape suivante consiste à identifier les enjeux de sécurité que votre PSSI doit couvrir. Il peut s’agir d’enjeux internes, comme la protection des données sensibles en fonction de leur niveau de sensibilité (Diffusion Restreinte, Secret, Très Secret), la politique de mots de passe et d’authentification des collaborateurs, la sécurité physique des serveurs… Ces enjeux doivent être adressés par des principes techniques, des règles de sécurité et des mesures de protection.
Il existe aussi bien-sûr des enjeux externes, comme le degré de sécurité des applications éditées par des fournisseurs ou encore la sécurisation des échanges avec les partenaires.
Définir le rôle et les responsabilités de chacun
La PSSI doit également définir clairement le rôle de chaque service et de chaque collaborateur impliqué dans sa mise en œuvre. Qui détient la responsabilité générale de la sécurité des systèmes d’information ? Qui est délégué à la protection des données ? Qui supervise les serveurs et le réseau ?
Les responsabilités de chaque collaborateur ou entreprise externe impliqué dans l’application de la PSSI sont expliquées dans le document.
Élaborer une politique de réponse aux incidents
L’objectif de cette étape est de se préparer à la gestion des incidents de sécurité pour réagir rapidement et efficacement en temps voulu. Le fait de construire des procédures adaptées et d’anticiper la coordination des actions entre les différentes parties prenantes (équipes techniques, responsables métiers, responsable communication…) minimise l’impact négatif d’un incident de sécurité sur le système d’information, les opérations de l'organisation, l’image de marque… et réduit les répercussions financières.
Sensibiliser et former les collaborateurs
Les collaborateurs d’une organisation sont souvent très éloignés des enjeux de cybersécurité. Il est important non seulement de les sensibiliser aux différentes cybermenaces, aux pratiques d’une bonne hygiène numérique, mais aussi à la PSSI afin que celle-ci soit efficacement appliquée.
À cette occasion, l’organisation peut par exemple expliquer l’importance des mots de passe complexes, les risques de l’utilisation d’un WiFi public, la politique en matière de partage de données… afin de réduire drastiquement les risques d’exposition de l’organisation aux cybermenaces.
Contrôler le niveau de sécurité
Définir une politique de sécurité des systèmes d'information n’est pas une fin en soi. Les différents responsables de sa mise en œuvre doivent non seulement veiller à l’application de cette PSSI, mais aussi la mettre à jour pour l’adapter aux évolutions du SI, des cybermenaces et de législation. Elle s’inscrit ainsi dans une démarche d’amélioration continue de l’organisation en matière de cybersécurité.
Le niveau de sécurité peut être régulièrement contrôlé par des audits internes comme externes, par une journalisation des activités du système d’information… Ces mesures doivent elles aussi figurer dans la PSSI.
Rédiger une politique de sécurité des systèmes d'information est donc un prérequis indispensable pour les organisations qui souhaitent maîtriser leur cybersécurité. Pour aller plus loin, n’hésitez pas à suivre les recommandations de l’ANSSI, qui propose un guide complet de l’élaboration d’une PSSI.