Comment rédiger une Politique de Sécurité du Système d’Information (PSSI) ?

gplexpert

La PSSI se définit comme un document de référence, elle fixe le cadre et les règles émises par l’entreprise pour l’ensemble de son Système d’Information. Étant donné la variété des Systèmes d’Information et la diversité existante des structures, une bonne Politique de Sécurité du SI devra s’adapter aux contraintes et aux particularités existantes.

Pour en savoir plus sur la mise en œuvre de ce document, n’hésitez pas à consulter notre article : Mise en œuvre d‘une Politique de Sécurité de Système d’Information.

Aujourd’hui, au-delà de son caractère essentiel, la PSSI est devenue obligatoire pour les établissements de santé. Lire l’article dédié.

C’est pourquoi il n’existe pas UNE seule façon de rédiger une Politique de Sécurité. Malgré tout, nous nous pouvons faire émerger 4 grands chapitres qui composeront ce document.

Pour vous inspirer, comprendre la complexité et surtout adopter la bonne stratégie dans la structuration de votre politique,  il existe différents exemples sur le web : 

 

L’ANSSI fournit également un guide d’élaboration de PSSI reprenant les différentes thématiques que nous allons aborder ci-dessous.  Il faut toutefois rester très vigilant quant à l’élaboration d’un tel document. Prendre tous les paramètres en compte nécessite une forte expérience, il est impératif de s’adresser à un professionnel pour en assurer sa réussite, notre pôle GCSSI (Gouvernance, Conformité et Sécurité du Système d’Information) est spécialiste dans ce domaine, n’hésitez pas à prendre contact avec nous.

1. L’introduction de la PSSI 

Dans l’introduction il faut faire apparaitre une description du domaine d’application de la PSSI au sein de la structure en prenant en compte ses particularités et ses spécificités. Cette étape est essentielle car elle porte sur la vision stratégique de la structure.

Il est donc nécessaire de faire apparaitre ici les enjeux (internes et externes) ainsi que les besoins et les contraintes de l’établissement.

Plus concrètement mais de manière non-exhaustive voici les questions à se poser et les éléments à présenter dans cette introduction .

                         1.1 Les responsabilités de la PSSI

Le facteur humain est à l’origine de la plus grande partie du succès des cyberattaques. Il est important de connaître le responsable du document, c’est-à-dire la personne chargée de la définition de son contenu mais également les acteurs interagissant avec cette politique (collaborateurs, prestataires…).

Exemple de questions à se poser :

  • Est-ce le RSSI de la structure ou un prestataire externe qui va rédiger le document ?
  • Quelles sont les personnes impactées ?
  • Qui devra respecter la PSSI ?

                   1.2 Les enjeux internes et externe de l’entreprise

La base du projet de la PSSI réside dans cette section. C’est ici qu’il est essentiel d’effectuer une analyse de l’environnement de l’établissement, quelles sont les richesses à protéger? (données sensibles, aspect financier, aspect humain) toutes ces questions doivent donner lieu à une hiérarchisation de l’importance de la sécurité. (par exemple : niveau de criticité )

                       1.3 Les règles 

Lors de la rédaction, la case règlementation ou cadre légale est inévitable que ce soit cadre interne (comme votre propre charte informatique) ou externe (comme la législation sur la protection des données ou toute autre règle définit par le gouvernement).

Dans le même ordre d’idée, certaines sociétés sont certifiées, de fait, elles doivent respecter des référentiels définissant un cadre commun aux actions de sécurité. C’est le cas par exemple de la Norme ISO 27001 ou HDS. (cliquez-ici pour en savoir plus sur ces certifications)

2. La méthodologie

Ici, il faudra mettre en corrélation les acteurs, les enjeux et inscrire la façon de procéder au quotidien dans la structure en prenant compte de ce document qui viendra « régir » votre structure. 

On pourra intégrer dans cette section les quatre phases nécessaires à la démarche d’élaboration disponibles et détaillées également dans le guide d’élaboration de l’ANSSI :

Phase 0 : préalables

o Tâche 1 : organisation projet

o Tâche 2 : constitution du référentiel

Phase 1 : élaboration des éléments stratégiques

o Tâche 1 : définition du périmètre de la PSSI

o Tâche 2 : détermination des enjeux et orientations stratégiques

o Tâche 3 : prise en compte des aspects légaux et réglementaires

o Tâche 4 : élaboration d’une échelle de besoins

o Tâche 5 : expression des besoins de sécurité

o Tâche 6 : identification des origines des menaces

Phase 2 : sélection des principes et rédaction des règles

o Tâche 1 : choix des principes de sécurité

o Tâche 2 : élaboration des règles de sécurité

o Tâche 3 : élaboration des notes de synthèse

Phase 3 : finalisation

o Tâche 1 : finalisation et validation de la PSSI

o Tâche 2 : élaboration et validation du plan d’action

3. Les domaines de la PSSI

Environ 16 domaines devront constituer la Politique de Sécurité du Système d’Information, nous avons un article dédié à ce sujet.

Voir les domaines

4. Documents de références de la PSSI 

Comme évoqué dans le guide d’élaboration de Politique de Sécurité du Système d’Information de l’ANSSI, dans cette partie il faut lier la documentation telle que : Critères d’évaluation, textes législatifs, normes, codes d’éthiques, notes complémentaire, etc. à la politique.

N’hésitez pas à prendre contact avec notre Pôle Gouvernance, Conformité et Sécurité du Système d’Information pour vous aider dans la rédaction de votre PSSI. Notre expérience terrain liée à notre savoir-faire sera un atout indéniable dans la mise en place de votre stratégie de Politique de Sécurité du Système d’Information. 
LinkedIn
Facebook
Twitter

Vous pourriez également être intéressé par les articles suivants :

gplexpert

10 ans d’évolution du SIH

D’hier à aujourd’hui, 10 ans d’évolution du SIH A l’aube de ses 10 ans de gestion du SIH, GPLExpert a demandé aux membres de son

Alfresco

Alfresco : La gestion de contenu

La solution de gestion de contenu alfresco a été développée en 2005 par l’entreprise « Alfresco Software ». Alfresco et la gestion de documents open-source Élaboré comme solution

Sécurité du Système d'Information

Audit de sécurité informatique

Face à la menace omniprésente et grandissante que représentent les attaques informatiques internes et externes, nos clients expriment une angoisse persistante à laquelle nous répondons

Sécurité du Système d'Information

Audits et conseils des systèmes d’information

Maîtriser son système d’information est un élément capital, qui favorise la dynamique de l’entreprise lorsque celui-ci répond précisément aux exigences métiers. Qu’il s’agisse d’intégrer le

Bacula

Bacula : Sauvegarde en réseau

Bacula est la solution open source de référence en matière de sauvegarde en réseau. Reposant sur un système de sauvegarde client / serveur, il est