Mettre en œuvre une politique de sécurité informatique (PSSI)

Le rôle prépondérant et en constante évolution du système d’information au sein des organisations implique de renforcer le niveau de sécurité des entreprises.

Face à la résurgence et la professionnalisation des tentatives d’intrusions malveillantes et d’escroqueries, certains documents tels que des politiques et des procédures doivent être soigneusement élaborés. La pièce maitresse qui constitue le principal document de référence en matière de Sécurité du Système d’Information (SSI) est la Politique de Sécurité du Système d’Information, plus communément appelée la « PSSI ».

Qu’est-ce qu’une Politique de Sécurité du Système d’Information ?

La Politique de Sécurité du Système d’Information définie l’intégralité de la stratégie de sécurité informatique de l’entreprise. Elle se traduit par la réalisation d’un document qui regroupe l’ensemble des règles de sécurité à adopter ainsi que le plan d’actions ayant pour objectif de maintenir le niveau de sécurité de l’information dans l’organisme.

La PSSI, élaborée « sur-mesure » pour chaque établissement, décrit l’ensemble des enjeux, des besoins, des contraintes, ainsi que des règles à adopter propres à chaque structure. Elle doit être validée par la direction et prise en compte par chaque collaborateur.

La PSSI est donc un document de référence alliant la stratégie de l’établissement aux acteurs du Système d’Information. 

Pourquoi mettre en place une Politique de Sécurité du Système d’Information ?

En premier lieu, la démarche de mise en œuvre d’une PSSI permet d’entreprendre une évaluation de la maturité de la sécurité de l’organisme, d’identifier les failles et les faiblesses organisationnelles et techniques afin de prévoir et d’appliquer un plan d’actions correctives et des règles associées. Au delà de son caractère essentiel,  la PSSI est devenue un document de référence obligatoire pour les établissements de santé.

Lire l’article sur les obligations légales des ES

La Politique de Sécurité du Système d’Information est un document qui doit être pris en compte par chaque collaborateur intervenant dans l’organisme afin qu’il puisse connaître les règles et les enjeux en matière de sécurité interne et externe mais aussi des mesures à appliquer en situation de crise liée.

De surcroît définir une PSSI permet également d’évaluer l’importance du rôle que joue le système d’information dans le fonctionnement de l’ensemble des services.

Les éléments stratégiques de la Politique de Sécurité du Système d’Information

La Politique de Sécurité du Système d’Information doit comporter plusieurs grands chapitres. Ceux-ci pouvant être plus moins détaillés en fonction de l’organisme, de son secteur d’activité et de sa maturité technique et organisationnelle.

Le domaine d’application de la PSSI

Il est nécessaire de clairement identifier le cadre de la mise en œuvre de la PSSI. Est-elle applicable à l’ensemble du système d’information de l’organisme ? Est-elle applicable à l’extérieur de l’entreprise ?

Les responsabilités de la PSSI :

Le domaine d’application défini, il est important de connaître le responsable du document, c’est-à-dire la personne en charge de la définition de son contenu et à qui est-elle destinée (collaborateurs, prestataires…).

Les documents associés :

Une PSSI n’est rarement constitué que d’un seul document et repose la plupart du temps sur des annexes (politique de cryptographie, normes, règlement…) qu’il est indispensable de de référer.

Les enjeux internes, externes :

Pourquoi une politique est-elle mise en œuvre ? Chaque document doit avoir un objectif, un sens. Ainsi, les « enjeux », qu’ils soient internes ou externes doivent être scrupuleusement écrits. Ils sont la base du projet !

Les référentiels :

Au-delà des enjeux, sur quels cadres réglementaires se base votre politique de sécurité du système d’information ? Est-ce le RGPD, une norme ISO27001 ou encore PCI-DSS ?

La gouvernance :

Qui est concerné par le Management de la Sécurité du Système d’Information au sein de l’organisme ? Il est important d’identifier les fonctions et les rôles spécifiques de chaque intervenant (Direction, DSI, RSSI, DPO…) ainsi que des instances mises en place pour contrôler, auditer et piloter la sécurité de l’information de l’organisme.

Les règles :

Enfin la PSSI doit spécifier les principes directeurs et les règles auxquelles l’entreprise souhaite s’engager pour garantir la sécurité de son système d’information.

Souvent confondue, la Politique de Sécurité du Système d’Information et la charte informatique sont deux documents différents. La PSSI fixe le cadre et les règles émises par l’entreprise pour l’ensemble de son système d’information. La charte informatique quant à elle est un document décrivant ce que le collaborateur à le droit de faire, ce qu’il doit respecter dans le cadre de son quotidien et les sanctions encourues en cas de non respects des règles.

Comment mettre en place une Politique de Sécurité du Système d’Information ?

Comme l’explique l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), l’élaboration d’une politique de sécurité nécessite une approche globale, portant à la fois sur l’aspect technique tel que la sécurité logique, la sécurité informatique et la sécurité des réseaux mais également la sécurité physique, organisationnelle ainsi que les aspects liés à l’humain.

Cette conception ne peut s’effectuer seul. Il s’agit d’un travail d’équipe piloté la plupart du temps par le Responsable de la Sécurité du Système d’Information (RSSI) à l’aide de la Direction et de chaque personne composant la gouvernance de la sécurité de l’information (Directeur du Système d’Information, Délégué à la Protection des Données personnelles, Assistante qualité et gestion des risques…) mais aussi d’autres collaborateurs tels que certains responsables de services et des ressources humaines.

Ensemble, le groupe de travail effectuera une analyse du niveau de maturité SSI permettra de définir le périmètre de la politique de sécurité ainsi que ses objectifs.

Ensuite, environ 16 domaines devront constituer la Politique de Sécurité du Système d’Information :

Principes organisationnels

1. Politique de sécurité
2. Organisation de la sécurité
3. Gestion des risques SSI
4. Sécurité et cycle de vie
5. Assurance et certification

Principes de mise en œuvre

1. Aspects humains
2. Planification de la continuité des activités
3. Gestion des incidents
4. Sensibilisation et formation
5. Exploitation
6. Aspects physiques et environnementaux

Principes techniques

1. Identification / authentification
2. Contrôle d’accès logique
3. Journalisation
4. Infrastructures de gestion des clés cryptographiques
5. Signaux compromettants

La mise en œuvre d’une Politique de Sécurité du Système d’Information nécessite une méthodologie particulière afin d’impliquer chaque acteur concerné et travailler l’ensemble des domaines nécessaires à sa construction.

Les atouts de la PSSI ?

La sécurité est souvent perçue comme une contrainte paralysant et anesthésiant les processus d’une société. En positionnant d’emblée la PSSI au cœur de tout processus tel le maitre d’arme de l’établissement, la direction pourra combattre cette idée fausse et faire évoluer les postures et les mentalités.

Lorsqu’il s’agit de gestion des risques, les retours sont difficiles à déterminer,  accordons nous à dire que la PSSI n’empêchera pas l’erreur humaine ou l’attaque, en revanche  si elle est bien élaborée, elle préviendra l’incident ou en limitera les conséquences, en indiquant clairement aux collaborateurs la marche à suivre pour une reprise rapide de l’activité rapide. Les temps d’indisponibilité seront réduits et les risques seront traités grâce à des procédures permettant de réagir rapidement.

La PSSI fait partie d’un processus d’amélioration continue, lorsqu’un collaborateur impliqué dans la sécurité informatique quitte l’entreprise, la méthodologie et les outils qu’il ou elle utilisaient sont décrits en détail, pour une meilleure transmission de l’information, cette amélioration permet une véritable pérennité pour l’établissement qui en bénéficie.

Ce document devient un véritable instrument de dialogue entre les acteurs du SI : direction, chefs de services, responsables de département, équipes et pôle informatique. Se doter d’une PSSI permet également de renforcer la confiance des utilisateurs et des partenaires, et de respecter les aspects réglementaires.

N’hésitez pas à contacter l’équipe sécurité de GPLExpert pour vous accompagner dans le management de votre sécurité.

A propos de la sécurité informatique, vous pourriez également être intéressé par :

• Comment rédiger une Politique de Sécurité du Système d’Information?
• Comment et pourquoi réaliser un audit de sécurité informatique
• Qu’est-ce qu’une politique de sécurité informatique ?
• Comment sensibiliser le personnel à la sécurité du système d’information ?
• Qu’est-ce qu’un Plan de Continuité d’Activité (PCA) et Plan de Reprise d’Activité (PRA) ?