Mettre en œuvre une politique de sécurité informatique (PSSI)

cybersécurité

Le rôle prépondérant et en constante évolution du système d’information au sein des organisations implique de renforcer le niveau de sécurité des entreprises.

Face à la résurgence et la professionnalisation des tentatives d’intrusions malveillantes et d’escroqueries, certains documents tels que des politiques et des procédures doivent être soigneusement élaborés. La pièce maitresse qui constitue le principal document de référence en matière de Sécurité du Système d’Information (SSI) est la Politique de Sécurité du Système d’Information, plus communément appelée la « PSSI ».

Qu’est-ce qu’une Politique de Sécurité du Système d’Information ?

La Politique de Sécurité du Système d’Information définie l’intégralité de la stratégie de sécurité informatique de l’entreprise. Elle se traduit par la réalisation d’un document qui regroupe l’ensemble des règles de sécurité à adopter ainsi que le plan d’actions ayant pour objectif de maintenir le niveau de sécurité de l’information dans l’organisme.

La PSSI, élaborée « sur-mesure » pour chaque établissement, décrit l’ensemble des enjeux, des besoins, des contraintes, ainsi que des règles à adopter propres à chaque structure. Elle doit être validée par la direction et prise en compte par chaque collaborateur.

Pourquoi mettre en place une Politique de Sécurité du Système d’Information ?

En premier lieu, la démarche de mise en œuvre d’une PSSI permet d’entreprendre une évaluation de la maturité de la sécurité de l’organisme, d’identifier les failles et les faiblesses organisationnelles et techniques afin de prévoir et d’appliquer un plan d’actions correctives et des règles associées.

La Politique de Sécurité du Système d’Information est un document qui doit être pris en compte par chaque collaborateur intervenant dans l’organisme afin qu’il puisse connaître les règles et les enjeux en matière de sécurité interne et externe mais aussi des mesures à appliquer en situation de crise liée.

De surcroît définir une PSSI permet également d’évaluer l’importance du rôle que joue le système d’information dans le fonctionnement de l’ensemble des services.

Que contient la Politique de Sécurité du Système d’Information ?

La Politique de Sécurité du Système d’Information doit comporter plusieurs grands chapitres. Ceux-ci pouvant plus moins détaillés en fonction de l’organisme, de son secteur d’activité et de sa maturité technique et organisationnelle.

Le domaine d’application de la PSSI

Il est nécessaire de clairement identifier le cadre de la mise en œuvre de la PSSI. Est-elle applicable à l’ensemble du système d’information de l’organisme ? Est-elle applicable à l’extérieur de l’entreprise ?

Les responsabilités de la PSSI :

Le domaine d’application défini, il est important de connaître le responsable du document, c’est-à-dire la personne en charge de la définition de son contenu et à qui est-elle destinée (collaborateurs, prestataires…).

Les documents associés :

Une PSSI n’est rarement constitué que d’un seul document et repose la plupart du temps sur des annexes (politique de cryptographie, normes, règlement…) qu’il est indispensable de de référer.

Les enjeux internes, externes :

Pourquoi une politique est-elle mise en œuvre ? Chaque document doit avoir un objectif, un sens. Ainsi, les « enjeux », qu’ils soient internes ou externes doivent être scrupuleusement écrits. Ils sont la base du projet !

Les référentiels :

Au-delà des enjeux, sur quels cadres réglementaires se base votre politique de sécurité du système d’information ? Est-ce le RGPD, une norme ISO27001 ou encore PCI-DSS ?

La gouvernance :

Qui est concerné par le Management de la Sécurité du Système d’Information au sein de l’organisme ? Il est important d’identifier les fonctions et les rôles spécifiques de chaque intervenant (Direction, DSI, RSSI, DPO…) ainsi que des instances mises en place pour contrôler, auditer et piloter la sécurité de l’information de l’organisme.

Les règles :

Enfin la PSSI doit spécifier les principes directeurs et les règles auxquelles l’entreprise souhaite s’engager pour garantir la sécurité de son système d’information.

Souvent confondue, la Politique de Sécurité du Système d’Information et la charte informatique sont deux documents différents. La PSSI fixe le cadre et les règles émises par l’entreprise pour l’ensemble de son système d’information. La charte informatique quant à elle est un document décrivant ce que le collaborateur à le droit de faire, ce qu’il doit respecter dans le cadre de son quotidien et les sanctions encourues en cas de non respects des règles.

Comment mettre en place une Politique de Sécurité du Système d’Information ?

Comme l’explique l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’élaboration d’une politique de sécurité nécessite une approche globale, portant à la fois sur l’aspect technique tel que la sécurité logique, la sécurité informatique et la sécurité des réseaux mais également la sécurité physique, organisationnelle ainsi que les aspects liés à l’humain.

Cette conception ne peut s’effectuer seul. Il s’agit d’un travail d’équipe piloté la plupart du temps par le Responsable de la Sécurité du Système d’Information (RSSI) à l’aide de la Direction et de chaque personne composant la gouvernance de la sécurité de l’information (Directeur du Système d’Information, Délégué à la Protection des Données personnelles, Assistante qualité et gestion des risques…) mais aussi d’autres collaborateurs tels que certains responsables de services et des ressources humaines.

Ensemble, le groupe de travail effectuera une analyse du niveau de maturité SSI permettra de définir le périmètre de la politique de sécurité ainsi que ses objectifs.

Ensuite, un minimum de 16 domaines devra constituer la Politique de Sécurité du Système d’Information :

Principes organisationnels

  1. Politique de sécurité
  2. Organisation de la sécurité
  3. Gestion des risques SSI
  4. Sécurité et cycle de vie
  5. Assurance et certification

Principes de mise en œuvre

  1. Aspects humains
  2. Planification de la continuité des activités
  3. Gestion des incidents
  4. Sensibilisation et formation
  5. Exploitation
  6. Aspects physiques et environnementaux

Principes techniques

  1. Identification / authentification
  2. Contrôle d’accès logique
  3. Journalisation
  4. Infrastructures de gestion des clés cryptographiques
  5. Signaux compromettants

La mise en œuvre d’une Politique de Sécurité du Système d’Information nécessite une méthodologie particulière afin d’impliquer chaque acteur concerné et travailler l’ensemble des domaines nécessaires à sa construction.

N’hésitez pas à contacter l’équipe sécurité de GPLExpert pour vous accompagner dans le management de votre sécurité.

A propos de la sécurité informatique, vous pourriez également être intéressé par :

Partager sur linkedin
Partager sur facebook
Partager sur twitter

Sécurité informatique, Audit, Politique de sécurité et plus encore ...

Vous désirez en savoir davantage ?

Découvrez toutes nos solutions dour sécuriser votre système d’information !