Difficile aujourd’hui, à la lumière des récentes cyberattaques, d’ignorer les sirènes de la cybersécurité ! Afin de protéger leurs données, la disponibilité de leur système informatique et être en conformité avec la loi (RGPD, loi « Informatique et Libertés » …), les organismes doivent mettre en place des mesures de sécurité adéquates. Mais pas de n’importe quelle manière ! Pour une sécurisation réussie, il est important de procéder avec ordre, de ne pas lancer de chantiers trop compliqués ou coûteux pour l’entreprise, ou qui ne couvrent pas les risques les plus importants.
Pour cela, les entreprises peuvent utiliser la PSSI : Politique de Sécurité des Systèmes d’Information (PSSI), un document établissant la stratégie de sécurité informatique de l’entreprise et documentant les mesures de sécurité à mettre en place afin d’être en conformité avec cette stratégie. Ce document est généralement élaboré par la Direction des Systèmes d’Information (DSI) ou le responsable de la sécurité des systèmes d’information (RSSI), mais doit intégrer les réflexions des métiers et bénéficier du patronage actif et de la validation de la Direction.
En établissant une PSSI, les organismes peuvent aussi prouver leur niveau de maturité en matière de sécurité et rassurer leurs clients et partenaires quant à la protection de leurs données. C’est donc un document autant stratégique que technique et qui a vocation à être publié par l’entreprise.
Qu’est-ce qu’une PSSI ?
La protection de l’information doit être un des piliers de tout organisme dont l’activité repose en partie ou entièrement sur un système d’information. Commencer par la mise en place d’une politique de sécurité des systèmes d’information au sein de l’organisme permet d’organiser sa sécurité autour des éléments à protéger et dans le respect des ressources et budgets de l’entreprise.
Cette PSSI est aussi valable pour la protection du patrimoine informationnel des branches et filiales de l’entreprise, donc particulièrement intéressante quand il s’agit de donner une direction à la sécurité d’un groupe.
La PSSI décrit ses cibles et son périmètre en définissant les responsabilités de chaque partie prenante. Elle décrit également les principaux besoins de sécurité, les objectifs à atteindre et les risques qui pourraient menacer la sécurité du système d’information (SSI) de l’organisme.
Elle pose un cadre commun et rappelle aux utilisateurs du système d’information et aux responsables du SSI les enjeux de la protection de l’information, les principes de gestion et de traitement des risques cybers, l’organisation et les responsabilités en matière de protection de l’information.
Composition d’une PSSI
Une politique de sécurité des systèmes d’information formalise l’ambition de maintenir un certain niveau de sécurité. Suivie d’un plan d’action si nécessaire pour correspondre à ses ambitions, la PSSI est composée de différentes sections :
- L’introduction : permet de positionner la PSSI dans le référentiel normatif du SSI au sein de l’organisation, de préciser le socle de légalité sur lequel elle repose et de fonder son importance. Cette partie contient les engagements de la direction vis-à-vis de la sécurité et définit le périmètre sur lequel le document porte. Elle décrit aussi la méthodologie employée pour rédiger la PSSI.
- L’analyse de risque : le but de cette partie est de comprendre le contexte et les besoins particuliers de l’organisme afin d’adapter la PSSI à sa réalité, tant organisationnelle que technique ou juridique. Il s’agit donc d’analyser les valeurs métiers de l’entreprise, ce qu’il importe de protéger et à quel coût ; et de définir les risques qui pèsent sur l’entreprise et qui nécessitent donc des mesures de sécurité pour s’en prémunir.
- Les mesures de sécurité : cette partie contient les objectifs de sécurité définis grâce à l’analyse des valeurs métiers et des risques. Ces objectifs sont ensuite déclinés en mesures de sécurité à respecter afin d’atteindre le niveau souhaité de maturité cyber et de protection face aux risques. C’est la partie la plus importante opérationnellement, en ce qu’elle décrit les règles qui seront ensuite appliquées au SI.
La PSSI est la colonne vertébrale de la sécurité de l’entreprise, couvrant des sujets allant des aspects les plus stratégiques à une description détaillée des règles. Elle doit néanmoins être complétée : une fois définies, ses règles de sécurité doivent être déclinées en procédures opérationnelles, en processus, en politiques diverses et variées. Procédures de maintien en condition de sécurité décrivant le déroulement de la mise à jour des machines, processus RH couvrant la gestion des accès des employés nouveaux arrivants ou partants, politique de mots de passe décrivant les exigences de sécurité à respecter pour des mots de passe solides…
La PSSI doit dont être placée au sein d’un référentiel documentaire de sécurité, dont elle est le chapeau et la ligne directrice. Ce référentiel comportera aussi des documents spécifiques à la DSI ou même à la gouvernance de l’entreprise : réglementations organisationnelles, charte informatique, schémas directeurs (documents stratégiques définissant les orientations et les priorités de l’organisation en matière de développement informatique, d’architecture système et de gestion de projets) …
Lorsque l’organisation est de grande taille, la PSSI peut être élaborée en ciblant des périmètres spécifiques : par filiale, par spécialité, par activité, par application, ou par équipement technologique (supervision Wifi, sauvegarde et archivage, terminaux mobiles, télétravail, BYOD, infogérance, identification et authentification, traçabilité des usages, sécurité gestion des incidents et des violations de données personnelles, anonymisation, etc.).
Comment élaborer sa PSSI ?
Selon la méthode de référence publiée par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) : « PSSI — Guide d’élaboration de politiques de sécurité des systèmes d’information », l’élaboration de la PSSI est déclinée en 4 étapes :
- Phase de préalables : où il faut définir les grands textes internes comme externes qui serviront de base pour constituer le référentiel de sécurité de l’organisme (PSSI de l’État, normes ISO, loi RGPD/LPM/NIS, etc.) et organiser la mise en place adéquate de la PSSI par une gouvernance adaptée.
- Phase d’élaboration des éléments stratégiques : permet de comprendre le contexte et les besoins particuliers de l’organisme afin d’adapter la PSSI à sa réalité, tant organisationnelle que technique ou juridique, en définissant le périmètre d’application (SI, locaux, personnes, usages…), les besoins en sécurité liés à la DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité) et les enjeux de l’organisme (par exemple : que faut-il protéger ?)
- Phase de sélection des principes et d’élaboration des règles : où il faut choisir les thématiques et objectifs de sécurité applicables à l’organisme, en ne gardant que ceux qui sont pertinents au regard des menaces, des besoins en sécurité et des priorités retenues pour l’organisation.
- Phase de finalisation : pour instancier les principes de sécurité retenus en une ou plusieurs règles de sécurité. Ces règles doivent couvrir les origines des menaces retenues ainsi que les critères de sécurité (disponibilité, intégrité, confidentialité, traçabilité) propres à l’organisme.
Avant de se lancer dans la conception d’une PSSI, il est utile de s’assurer de l’état d’esprit positif de ceux qui y contribueront, notamment en objectivant l’intérêt de la PSSI grâce au soutien de la direction.
Intérêt d’une PSSI
Avec une démarche claire et cohérente, diffusée à tous les acteurs concernés, la PSSI a pour objectif de :
- Fournir un support explicatif de la stratégie cyber aux responsables SSI, aux utilisateurs ainsi qu’aux clients et aux partenaires
- Sécuriser le SI pour assurer la protection du patrimoine informationnel de l’entreprise en évitant par exemple la détérioration du matériel physique et logique nécessaire à l’activité de l’entreprise, les atteintes au patrimoine immatériel et intellectuel et la fuite d’informations sensibles
- Cadrer et référencer les règles et processus en permettant d’intégrer la sécurité dès la conception du SI, en forçant une vision stratégique de la gestion des risques globaux tout en assurant la cohérence et la pérennité des actions de sécurité.
La politique de sécurité informatique est un document évolutif mis à jour en permanence pour s’adapter à l’évolution des besoins métier et informatiques de l’organisme.
Conclusion
Élaborer une PSSI n’est pas une chose qui s’improvise. Si la gestion de projet incombe au responsable de la sécurité de l’information de l’organisation, le travail doit se faire en collaboration avec d’autres départements de l’entreprise. La PSSI doit être mise à jour régulièrement pour refléter les évolutions de l’environnement de l’entreprise et de ses menaces potentielles.
La PSSI nécessite une approche globale qui couvre les aspects techniques, mais aussi humains (sensibilisation, formation, etc.). Elle doit aussi bénéficier d’un patronage clair de la direction. La mise en œuvre d’une PSSI implique donc une démarche spécifique afin d’impliquer tous les acteurs concernés et de travailler sur tous les axes nécessaires à sa construction.
Si l’élaboration d’une PSSI peut prendre jusqu’à 1 an dans les grandes organisations, un travail plus simple peut être mené par les TPE et PME. Aidez-vous des ressources accessibles librement, comme le Guide d’élaboration de politiques de sécurité des systèmes d’information de l’ANSSI, ou le canevas de la PGSSI-S (Politique Générale de la Sécurité des Systèmes d’Information du domaine de la Santé) qui peut être repris et adapté pour votre entreprise. Cela peut néanmoins prendre plusieurs mois (entre 1 et 6) pour définir et mettre en œuvre la PSSI.
Vous pouvez aussi vous faire accompagner par des entreprises spécialisées, comme Coralium ! Contactez-nous pour plus d’information.
Article rédigé par : Maguette Diaw, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Politique de Sécurité des Systèmes d’Information (PSSI)