La PSSI se définit comme un document de référence, elle fixe le cadre et les règles émises par l’entreprise pour l’ensemble de son Système d’Information. Étant donné la variété des Systèmes d’Information et la diversité existante des structures, une bonne Politique de Sécurité du SI devra s’adapter aux contraintes et aux particularités existantes.
Pour en savoir plus sur la mise en œuvre de ce document, n’hésitez pas à consulter notre article : Mise en œuvre d‘une Politique de Sécurité de Système d’Information.
Aujourd’hui, au-delà de son caractère essentiel, la PSSI est devenue obligatoire pour les établissements de santé. Lire l’article dédié.
C’est pourquoi il n’existe pas UNE seule façon de rédiger une Politique de Sécurité. Malgré tout, nous nous pouvons faire émerger 4 grands chapitres qui composeront ce document.
Pour vous inspirer, comprendre la complexité et surtout adopter la bonne stratégie dans la structuration de votre politique, il existe différents exemples sur le web :
- Guide d’élaboration et de mise en œuvre d’une PSSI pour les structures des secteurs sanitaires et médico-social
- Définissez la Politique de Sécurité de votre entreprise
L’ANSSI fournit également un guide d’élaboration de PSSI reprenant les différentes thématiques que nous allons aborder ci-dessous. Il faut toutefois rester très vigilant quant à l’élaboration d’un tel document. Prendre tous les paramètres en compte nécessite une forte expérience, il est impératif de s’adresser à un professionnel pour en assurer sa réussite, notre pôle GCSSI (Gouvernance, Conformité et Sécurité du Système d’Information) est spécialiste dans ce domaine, n’hésitez pas à prendre contact avec nous.
1. L’introduction de la PSSI
Dans l’introduction il faut faire apparaitre une description du domaine d’application de la PSSI au sein de la structure en prenant en compte ses particularités et ses spécificités. Cette étape est essentielle car elle porte sur la vision stratégique de la structure.
Il est donc nécessaire de faire apparaitre ici les enjeux (internes et externes) ainsi que les besoins et les contraintes de l’établissement.
Plus concrètement mais de manière non-exhaustive voici les questions à se poser et les éléments à présenter dans cette introduction .
1.1 Les responsabilités de la PSSI
Le facteur humain est à l’origine de la plus grande partie du succès des cyberattaques. Il est important de connaître le responsable du document, c’est-à-dire la personne chargée de la définition de son contenu mais également les acteurs interagissant avec cette politique (collaborateurs, prestataires…).
Exemple de questions à se poser :
- Est-ce le RSSI de la structure ou un prestataire externe qui va rédiger le document ?
- Quelles sont les personnes impactées ?
- Qui devra respecter la PSSI ?
1.2 Les enjeux internes et externe de l’entreprise
La base du projet de la PSSI réside dans cette section. C’est ici qu’il est essentiel d’effectuer une analyse de l’environnement de l’établissement, quelles sont les richesses à protéger? (données sensibles, aspect financier, aspect humain) toutes ces questions doivent donner lieu à une hiérarchisation de l’importance de la sécurité. (par exemple : niveau de criticité )
1.3 Les règles
Lors de la rédaction, la case règlementation ou cadre légale est inévitable que ce soit cadre interne (comme votre propre charte informatique) ou externe (comme la législation sur la protection des données ou toute autre règle définit par le gouvernement).
Dans le même ordre d’idée, certaines sociétés sont certifiées, de fait, elles doivent respecter des référentiels définissant un cadre commun aux actions de sécurité. C’est le cas par exemple de la Norme ISO 27001 ou HDS. (cliquez-ici pour en savoir plus sur ces certifications)
2. La méthodologie
Ici, il faudra mettre en corrélation les acteurs, les enjeux et inscrire la façon de procéder au quotidien dans la structure en prenant compte de ce document qui viendra « régir » votre structure.
On pourra intégrer dans cette section les quatre phases nécessaires à la démarche d’élaboration disponibles et détaillées également dans le guide d’élaboration de l’ANSSI :
Phase 0 : préalables
o Tâche 1 : organisation projet
o Tâche 2 : constitution du référentiel
– Phase 1 : élaboration des éléments stratégiques
o Tâche 1 : définition du périmètre de la PSSI
o Tâche 2 : détermination des enjeux et orientations stratégiques
o Tâche 3 : prise en compte des aspects légaux et réglementaires
o Tâche 4 : élaboration d’une échelle de besoins
o Tâche 5 : expression des besoins de sécurité
o Tâche 6 : identification des origines des menaces
– Phase 2 : sélection des principes et rédaction des règles
o Tâche 1 : choix des principes de sécurité
o Tâche 2 : élaboration des règles de sécurité
o Tâche 3 : élaboration des notes de synthèse
– Phase 3 : finalisation
o Tâche 1 : finalisation et validation de la PSSI
o Tâche 2 : élaboration et validation du plan d’action
3. Les domaines de la PSSI
Environ 16 domaines devront constituer la Politique de Sécurité du Système d’Information, nous avons un article dédié à ce sujet.
4. Documents de références de la PSSI
Comme évoqué dans le guide d’élaboration de Politique de Sécurité du Système d’Information de l’ANSSI, dans cette partie il faut lier la documentation telle que : Critères d’évaluation, textes législatifs, normes, codes d’éthiques, notes complémentaire, etc. à la politique.